Android-эксклюзив для мошенников. Цена фиктивного подарка — полный контроль над устройством

Согласно отчету Bitdefender, киберпреступники активно используют рекламные инструменты Meta* для доставки вредоносного ПО Brokewell, маскируя его под якобы бесплатную версию популярного финансового приложения TradingView Premium для Android. Кампания направлена на кражу криптовалют и других чувствительных данных с мобильных устройств.

Специалисты зафиксировали как минимум 75 таргетированных рекламных объявлений, которые начали распространяться не позднее 22 июля. Все они оформлены с использованием фирменного стиля TradingView и адресованы исключительно пользователям Android — при открытии на другой платформе вредоносная нагрузка не загружается.

Переход по рекламному объявлению с Android-устройства приводит на поддельный сайт, стилизованный под оригинальный ресурс TradingView, где пользователю предлагается установить APK-файл tw-update.apk, размещённый на домене tradiwiw[.]online.

После запуска приложение запрашивает права «Универсального доступа», а затем выводит на экран фиктивное сообщение об обновлении системы. В фоновом режиме оно автоматически активирует все необходимые разрешения — включая доступ к экрану, камере, микрофону, местоположению и SMS-сообщениям. Одновременно вредонос пытается получить код блокировки устройства, выдавая поддельный запрос от имени Android.

По данным Bitdefender, это продвинутая версия Brokewell , действующая как полноценный RAT с широким набором функций. Злоумышленники используют её для поиска криптовалютных кошельков (BTC, ETH, USDT) и банковских реквизитов (включая IBAN); захвата кодов Google Authenticator для обхода двухфакторной аутентификации; подмены экранов входа для кражи учётных данных; записи нажатий клавиш, снятия скриншотов и перехвата cookie-файлов; перехвата SMS с кодами подтверждения и уведомлениями банков; удалённого управления устройством через Tor или WebSocket: можно отправлять SMS, совершать звонки, удалять приложения или удалять сам вредонос.

Bitdefender отмечает, что кампания с поддельным TradingView является частью более масштабной атаки, начатой ранее против пользователей Windows. Тогда мошенники использовали аналогичные объявления от имени десятков известных брендов.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.