Новый вредонос Android устанавливает опасные APK. Двухфакторка не помогает

Исследователи кибербезопасности выявили кампанию, в которой злоумышленники распространяют вредонос Brokewell на Android через фальшивые объявления TradingView, подталкивающие к загрузке вредоносных APK вне Play Store. Эта схема ориентируется на трафик с мобильных устройств: при клике с десктопа показывается безобидный контент, а при клике со смартфона — поддельный сайт, имитирующий TradingView, с предложением установить «официальное» приложение. Популярность TradingView среди трейдеров и криптоинвесторов делает такие уведомления наиболее опасными.

Как работает Brokewell

После установки вредоносная программа выполняет скрытую активность: сканирует и выуживает данные о криптовалютах вроде BTC, ETH, USDT, а также номера банковских счетов и учетные записи финансовых сервисов.

Техника наложения фальшивых экранов входа позволяет похищать логины и пароли прямо в момент авторизации, не вызывая подозрений. Дополнительно задействуются запись экрана, кейлоггинг и кража cookies для последующего угонов аккаунтов без лишней аутентификации.

Не забывайте о нашем Дзен, где очень много всего интересного и познавательного!

Помогает ли Google Authenticator

Критически опасная функция Brokewell — экспорт одноразовых кодов Google Authenticator, что фактически обнуляет защиту двухфакторной аутентификации на зараженном устройстве. Имея доступ к экранам, вводам и хранилищам приложения-аутентификатора, вредонос перехватывает OTP и доставляет их злоумышленнику для завершения входа. Это превращает классические 2FA-коды на том же устройстве, где выполняется вход, в уязвимое звено, повышая риск компрометации банковских и криптокошельков.

TradingView — распространенная платформа анализа графиков и сигналов, поэтому ее «официальные» объявления не вызывают подозрений у аудитории, привыкшей к сторонним ресурсам и инструментам. Кампания использует редиректы, различающие десктоп и Android: безобидный контент для ПК снижает вероятность жалоб и модераторских блокировок, а мобильный трафик направляется на фишинговую копию сайта. Такое разделение потоков усложняет обнаружение и увеличивает «срок жизни» вредоносных уведомлений в рекламных сетях.

Думаете, что Android более открытая, чем iOS? Google запретила установку сторонних приложений

Как определить заражение смартфона

Косвенные индикаторы: неожиданная просьба установить APK вне Google Play, запросы на расширенные разрешения (наложение поверх окон, запись экрана), ускоренный разряд батареи и аномальный сетевой трафик.

Присоединяйтесь к нам в Telegram!

При подозрении на Brokewell необходимо немедленно отключить сеть, удалить подозрительные приложения и APK, сменить пароли ключевых сервисов с другого, «чистого» устройства. Рекомендуется провести полную проверку антивирусом и при необходимости сбросить телефон к заводским настройкам с последующим восстановлением из доверенной резервной копии.

Лучшие практики включают установку приложений только из официального магазина, отказ от загрузки APK по ссылкам из рекламы и социальных сетей, а также отключение установки из неизвестных источников. Для 2FA предпочтительно использовать аппаратные ключи FIDO2 или отдельный офлайн-девайс под аутентификатор, чтобы исключить единое «точечное» заражение. Включение предупреждений о входе, списков устройств и лимитов вывода средств на биржах помогает быстрее заметить несанкционированные операции.

Если ищите что-то интересное на AliExpress, не проходите мимо Telegram-канала "Сундук Али-Бабы"!

На фоне подобных кампаний Google ужесточает политику сайдлоада, усложняя установку приложений извне и добавляя дополнительные проверки как «контрольные пункты». Эти ограничения снижают вероятность успешной социальной инженерии, мешая установке вредоносов, маскирующихся под «легитимные» инструменты для трейдинга. В экосистеме Android это сдвиг в сторону приоритета целостности устройства над удобством, особенно для пользователей финансовых сервисов. Вот только случиться такая атака можети. С помощью других приложений, а это тоже надо учитывать.