Brokewell è nuovo malware Android individuato la prima volta all'inizio dell'anno che, secondo i ricercatori di Bitdefender, è tornato ad infettare dispositivi di tutto il mondo cambiando le proprie modalità di diffusione.
Lo scorso aprile, infatti, Threat Fabric ha segnalato che la distribuzione del malware avveniva attraverso una falsa pagina di aggiornamento di Chrome. Si tratta di uno stratagemma classico: l’utente clicca sul pulsante “Update” pensando di aggiornare il browser, senza accorgersi di installare in realtà un’app infetta.
Dallo scorso luglio, invece, Brokewell si starebbe diffondendo attraverso falsi annunci pubblicitari di TradingView, uno dei servizi di analisi finanziaria più popolari al mondo. La campagna, attiva almeno dal 22 luglio, sfrutta oltre 75 inserzioni localizzate che imitano alla perfezione l’interfaccia del sito originale, inducendo gli utenti a scaricare APK malevoli.
Gli annunci appaiono del tutto legittimi, ma nascondono un comportamento pericoloso: su desktop, cliccando sull’annuncio si viene indirizzati a contenuti innocui, mentre su Android lo stesso link porta a un sito clone di TradingView, che invita a scaricare un’app “ufficiale” sotto forma di APK. In realtà, si tratta di una versione avanzata del malware Brokewell.
Ma quali sono i rischi in caso di infezione? Brokewell non è un semplice trojan bancario: i ricercatori lo definiscono una nuova famiglia di malware mai vista prima, dotata di un set di funzionalità estremamente ampio. Una volta attivo, è in grado di:
-
Registrare tutte le interazioni con il dispositivo: tocchi, swipe, app avviate, testi digitati e persino le immagini mostrate sullo schermo.
-
Mimare schermate di login per rubare credenziali di banche, app finanziarie o social.
-
Intercettare cookie e sessioni attive, accedendo così agli account senza password.
-
Raccogliere dati di sistema (hardware, software, log delle chiamate, posizione GPS).
-
Accedere al microfono e registrare audio ambientale.
-
Trasmettere in diretta lo schermo del dispositivo infetto.
-
Eseguire comandi remoti, come clic, digitazioni, swipe e persino simulare la pressione dei pulsanti fisici (Home, Indietro, Recenti). L’attaccante può anche riattivare lo schermo, regolare la luminosità e il volume.
In pratica, Brokewell trasforma il telefono in un dispositivo completamente controllato a distanza.
Ma la minaccia più grave è la capacità di esportare i codici da Google Authenticator, rendendo inefficace la verifica a due fattori.
Secondo Threat Fabric, dietro a Brokewell c’è un attore noto come Baron Samedit, già attivo nello sviluppo e nella vendita di strumenti usati dai criminali per testare credenziali rubate. Una delle sue creazioni, il Brokewell Android Loader, è capace di bypassare le protezioni di Android che limitano l’abuso del servizio Accessibilità da parte delle app sideloaded.
La scoperta di Brokewell è un altro argomento a favore di chi sostiene la pericolosità del sideload di app al di fuori del Google Play Store e proprio per ridurre questi rischi, Google ha annunciato restrizioni sempre più severe per l’installazione di APK esterni nelle future versioni di Android.
Come al solito, prevenire è meglio che curare, evitando il download di APK da fonti non ufficiali e diffidando da annunci pubblicitari che promettono app “ufficiali” fuori dal Play Store