La sicurezza dei dispositivi Android torna sotto i riflettori a causa di una nuova minaccia che, a conti fatti, desta non poche preoccupazioni; stiamo parlando di una nuova versione di Brokewell (già visto in altre circostanze), un malware che non solo è in grado di sottrarre informazioni sensibili e controllare da remoto i dispositivi infetti, ma che riesce perfino ad aggirare i codici generati da Google Authenticator, rendendo di fatto inefficace uno degli strumenti di protezione più diffusi negli ultimi anni: l’autenticazione a due fattori.
Come si diffonde e cosa può fare la nuova versione del malware Brokewell
Secondo quanto riportato, i criminali informatici stanno sfruttando falsi annunci di TradingView, una delle piattaforme di analisi finanziaria più popolari al mondo, per indurre gli utenti a scaricare un APK malevolo, ovviamente contenente il malware.
Gli annunci, pubblicati attraverso le piattaforme pubblicitarie di Meta, promettono una versione gratuita di TradingView Premium e sono progettati per sembrare autentici in ogni dettaglio; il meccanismo tuttavia è ancora più subdolo, se cliccati da desktop portano a contenuti innocui, mentre se cliccati da un dispositivo Android reindirizzano a un sito clone di TradindView che invita a scaricare un file dannoso (ad esempio tw-update.apk).
Una volta installata, l’app fittizia richiede subito permessi avanzati mascherandoli dietro un falso aggiornamento di sistema, e da quel momento in poi il malware inizia a concedersi tutte le autorizzazioni necessarie per operare in background senza destare sospetti.
Il malware, come detto in circolazione almeno dall’inizio dello scorso anno ma in costante evoluzione, è considerato una versione avanzata rispetto alle prime varianti e dispone di un arsenale estremamente vasto di funzionalità:
- furto di dati bancari e di criptovalute (BTC, ETH, USDT, IBAN)
- intercettazione e sovrapposizione di schermate di login per rubare credenziali
- registrazione di schermate, sequenze di tasti, cookie di navigazione
- acquisizione di PIN e codici della schermata di blocco con falsi prompt di aggiornamento Android
- attivazione di fotocamera e microfono, oltre al tracciamento della posizione
- intercettazione degli SMS, inclusi i codici di sicurezza bancari e i token 2FA
- esportazione dei codici generati da Google Authenticator, con conseguente bypass dell’autenticazione a due fattori
- controllo remoto completo tramite Tor o Websocket (invio messaggi, chiamate, disinstallazione app, autodistruzione del malware)
Il report infatti, elenca oltre 130 comandi supportati dal malware, a dimostrazione della complessità e della pericolosità della minaccia.
Gli esperti hanno individuato circa 75 annunci localizzati riconducibili a questa campagna, attiva almeno dal 22 luglio; è interessante notare come le stesse tecniche fossero già state adottate in precedenza per colpire utenti Windows, attraverso inserzioni che impersonavano decine di marchi noti, segno che si tratta di un’operazione su larga scala, adattata nel tempo a target diversi.
La diffusione del malware Brokewell conferma ancora un volta i rischi legati al sideloading di applicazioni provenienti da fonti esterne al Play Store, se da un lato Google ha già introdotto negli ultimi anni restrizioni sempre più severe per limitare l’installazione di APK non verificati, dall’altro la diffusione di malware così sofisticati rappresenta un chiaro campanello d’allarme.
I consigli per tutelarsi sono più o meno sempre gli stessi, scaricare app solo da fonti ufficiali, evitando link sospetti e promozioni troppo belle per essere vere, mantenere il dispositivo aggiornato e con patch di sicurezza recenti, utilizzare un software di protezione affidabile, prestare attenzione ai permessi richiesti dalle app, specialmente in fase di installazione.
La capacità di aggirare l’identificazione a due fattori rende Brokewell un malware particolarmente pericoloso e, purtroppo, potenzialmente devastante per chi utilizza smartphone Android per operazioni bancarie o gestione di criptovalute; Google sta lavorando per rafforzare i controlli su installazioni esterne, ma nel frattempo la prudenza degli utenti rimane la prima e più importante linea di difesa.
- Attenti a questi malware scoperti all’interno di app presenti nel Google Play Store
- È trapelato online il codice sorgente del malware bancario ERMAC
- PhantomCard è un nuovo malware che sfrutta l’NFC per svuotare i conti bancari
- LunaSpy è un nuovo malware Android che si finge un antivirus per rubare i vostri dati