Гид по технологиям

Brokewell: шпионское ПО в рекламе Facebook угрожает Android

8 min read Безопасность Обновлено 17 Sep 2025
Brokewell: шпион в рекламе Facebook на Android
Brokewell: шпион в рекламе Facebook на Android

Brokewell Malware Android Featured

Введение — что произошло и почему это важно

Исследователи безопасности из Bitdefender обнаружили новую мошенническую кампанию в рекламной сети Facebook. Мошенники показывают объявления с обещанием бесплатного доступа к TradingView Premium для Android. По ссылке загружается APK с шпионским модулем Brokewell.

Brokewell впервые зафиксировали в 2024 году; тогда он распространялся как поддельное обновление Chrome. В 2025 году вредонос стал адаптироваться и рассылать вредоносные APK через объявления в соцсетях. К августу 2025 года реклама уже охватила десятки тысяч пользователей в ЕС, а распространение продолжается глобально.

Важно: если вы случайно загрузили APK вне Google Play или дали приложению подозрительные права, действуйте немедленно.

Как работает атака — простая схема

  1. Пользователь видит рекламу в Facebook с логотипом и оформлением, похожим на TradingView.
  2. По рекламе открывается поддельный сайт, маскирующийся под официальный ресурс.
  3. С сайта загружается APK и предлагается установить приложение/обновление.
  4. После установки приложение запрашивает расширенные Accessibility‑разрешения и может показывать фальшивые запросы обновления и ввода PIN.
  5. При предоставлении прав приложение может удалить себя, чтобы скрыть следы, и продолжать работу в фоне как шпион.

Mobile device attacked by malware.

Чем опасен Brokewell — функциональность вредоносного модуля

Brokewell способен выполнять широкий набор вредоносных действий на заражённом Android‑устройстве:

  • Блокировка и обход 2FA — перехват кодов из Google Authenticator и копий SMS‑сообщений.
  • Захват учётных записей — показ фальшивых окон входа поверх легитимных приложений.
  • Кража криптовалют — сканирование и перехват данных, связанных с кошельками BTC, ETH и другими.
  • Угон SMS — присваивание прав по умолчанию для приложения сообщений и чтение/перехват кодов.
  • Слежка — кейлоггинг и отправка живого местоположения.
  • Удалённое управление — отправка SMS, совершение звонков, удаление приложений и активация «самоуничтожения» модуля.

Hacker launching attacks on Android devices.

Ключевой вектор — запрос Accessibility‑прав и запрос PIN‑кода экрана блокировки. Настоящее приложение не требует PIN‑кода и не должно его просить.

Быстрая проверка: как понять, заражено ли устройство

  • Появились незнакомые приложения, которые вы не устанавливали вручную.
  • На устройстве появляются всплывающие окна с просьбой ввести PIN, пароли или коды 2FA.
  • Приложения становятся «администратором устройства» или получают полный доступ через Accessibility.
  • Бесполезные всплывающие разрешения, невозможность удалить приложение обычным способом.
  • Неожиданные сообщения о «обновлении» приложений, требующие загрузки APK извне.

Если вы видите одно или несколько из этих признаков — действуйте по плану инцидента ниже.

Немедленные шаги при подозрении на заражение (инцидент‑runbook)

  1. Отключите интернет: выключите Wi‑Fi и мобильные данные.
  2. Отключите приложение от прав администратора: Настройки → Безопасность → Администраторы устройств. Отзыв прав у подозрительных приложений.
  3. Перейдите в Настройки → Приложения и снимите подозрительные разрешения (особенно Accessibility и права администратора).
  4. Удалите приложение: Настройки → Приложения → [имя приложения] → Удалить. Если приложение не удаляется, используйте безопасный режим (перезагрузите устройство в безопасный режим) и удалите оттуда.
  5. Смените пароли с безопасного устройства (не с заражённого телефона). Особенно почту, банковские сервисы и криптокошельки.
  6. Проверьте активные сессии в критичных сервисах и завершите их (например, Google → Безопасность → Ваши устройства).
  7. Включите Play Protect: откройте Google Play → иконка профиля → Play Protect → убедитесь, что включено «Улучшить обнаружение вредоносных приложений (Improve harmful app detection)».
  8. При сомнениях — выполните сброс до заводских настроек (после резервного копирования важных неисполняемых файлов и после смены паролей с безопасного устройства).

Важное: не вводите PIN или коды 2FA в приложениях, которые просят их нестандартно (всплывающие окна, уведомления с формами ввода). Это ключевой признак мошенничества.

Пошаговый SOP для домашнего пользователя — инструкция до и после инцидента

Перед использованием Facebook и загрузкой приложений:

  • Не кликайте по рекламным объявлениям, предлагающим «бесплатный доступ/премиум» в обмен на APK.
  • Загружайте приложения только из Google Play.
  • Включите автоматические обновления системы и приложений.
  • Регулярно проверяйте список установленных приложений и права доступа.

Если подозрение подтвердилось — выполните инцидент‑runbook (см. выше). После восстановления:

  • Включите двухфакторную аутентификацию через аппаратные ключи (FIDO2) или приложения, которые не разрешают синхронизацию в облаке.
  • Проверьте и восстановите настройки конфиденциальности и разрешений для приложений.
  • Активируйте «Advanced Protection» при поддержке вашим устройством (если доступно в Android 16).

Критерии приёмки: как понять, что устройство теперь безопасно

  • Отсутствуют неизвестные приложения и службы в списке приложений.
  • Accessibility‑разрешения выданы только проверенным приложениям.
  • Аккаунты защищены: пароли сменены, активные сессии завершены.
  • Play Protect не показывает предупреждений.
  • Нет необычной активности в банковских и крипто‑аккаунтах.

Тесты и критерии приёмки (acceptance) — проверка ремедиации

  • Тест 1: Перезагрузите устройство. Приложение не восстанавливается и не появляется снова.
  • Тест 2: Проверка прав Accessibility — убедитесь, что только доверенные приложения имеют эти права.
  • Тест 3: Отправьте тестовое SMS с кодом 2FA — код не перехватывается (используйте второй телефон для приёма).
  • Тест 4: Просмотрите логи сети для необычных подключений (требуется базовая сетевая диагностика).

Если любой тест провален — вернитесь к инцидент‑runbook и при необходимости выполните сброс устройства.

Альтернативные подходы и когда они не помогут

  • Если устройство серьезно скомпрометировано (например, подозрение на рутирование или скрытые рут‑модули), простое удаление приложения может не помочь. В таком случае необходим полный сброс и переустановка системы.
  • Для корпоративных телефонов используйте EMM/MDM‑решения: эти решения позволяют изолировать и быстро очищать устройства, тогда как ручные шаги малоэффективны в масштабе.

Роль‑ориентированные чеклисты

Пользователь:

  • Не кликать по подозрительным объявлениям.
  • Не устанавливать APK из неофициальных источников.
  • Сменить пароли с безопасного устройства.

ИТ‑администратор:

  • Проверить логи доступа и активность устройств.
  • Принудительно завершить подозрительные сессии.
  • Откатить привилегии у пользователей при необходимости.

Специалист по безопасности:

  • Проанализировать сетевой трафик и домены, к которым подключалось приложение.
  • Провести форензик‑анализ устройства при необходимости.

Плейбук/шаблон уведомления для пользователей (короткое сообщение)

Уважаемый пользователь, обнаружена кампания вредоносных объявлений в Facebook, маскирующаяся под TradingView. Если вы устанавливали APK из рекламы Facebook или дали неизвестному приложению доступы Accessibility и PIN, немедленно отключите интернет, удалите приложение и смените пароли с безопасного устройства. Свяжитесь с техподдержкой.

Набор команд и сниппеты для продвинутых пользователей

  • Войти в безопасный режим: удерживайте кнопку питания, затем удерживайте «Выключение» до появления опции «Безопасный режим».
  • Удаление приложения через ADB (только при явном знании ADB): подключите устройство к ПК с отладкой USB и выполните adb shell pm uninstall –user 0

Примечание: команды ADB используются опытными пользователями и могут привести к потере данных, если выполнены неправильно.

Модель риска и рекомендации по приоритезации

  • Высокий риск: приложение запрашивает Accessibility, администратор устройства или ввод PIN. Действуйте немедленно.
  • Средний риск: приложение приходит из неофициального источника, но не запрашивает критичных прав — удалите и проверьте.
  • Низкий риск: приложение из Google Play с положительными отзывами и небольшим количеством разрешений — мониторьте.

Fact‑box: ключевые факты

  • Первое обнаружение Brokewell: 2024 год.
  • Основной вектор в 2025: поддельные рекламные объявления в Facebook.
  • Ключевая опасность: запросы Accessibility‑прав и сбор 2FA/SMS.

Права приложений: что никогда не давать

  • Права администратора устройства без крайней необходимости.
  • Accessibility‑правам — давать только доверенным приложениям (например, специальным сервисам для людей с ограниченными возможностями).
  • Доступ к SMS и приложениям для обмена сообщениями, если приложение не профильное.

Совместимость и миграция — что учесть при переходе на новое устройство

  • При смене телефона используйте официальный бэкап/восстановление от Google, но не восстанавливайте подозрительные APK.
  • После сброса проверьте разрешения каждого восстановленного приложения.
  • По возможности используйте аппаратный ключ FIDO2 для критичных сервисов.

Примечания по приватности и соответствию требованиям GDPR

Если у вас есть европейские пользователи или устройство с данными EU‑жителей, уведомите соответствующие службы безопасности и, при необходимости, пользователей о возможном утечке персональных данных. Проверьте внутренние политики уведомления о нарушении и сроки уведомления регуляторов.

Краткий глоссарий — 1‑строчные определения

  • APK: файл установки Android‑приложения.
  • Accessibility‑права: специальные разрешения, дающие приложению доступ к интерфейсу других приложений.
  • Play Protect: защита Google Play, сканирующая приложения.
  • 2FA: двухфакторная аутентификация.

Диагностическое дерево принятия решений

flowchart TD
  A[Увидели подозрительную рекламу или скачали APK?] -->|Да| B{Дали права Accessibility или PIN?}
  A -->|Нет| Z[Не кликайте, следите за обновлениями]
  B -->|Да| C[Отключить интернет и выполнить инцидент‑runbook]
  B -->|Нет| D[Удалить APK и проверить разрешения]
  C --> E{Удалось удалить приложение?}
  E -->|Да| F[Сменить пароли и мониторить]
  E -->|Нет| G[Перевести в безопасный режим и повторить удаление]
  G --> H[Если не помогает — сброс до заводских настроек]

Короткое объявление для соцсетей (для рассылки 100–200 слов)

Brokewell — новое шпионское ПО, распространяющееся через рекламные объявления в Facebook и маскирующееся под TradingView. Если вы устанавливали APK из рекламы или предоставляли подозрительные права приложениям, отключите интернет, удалите приложение и незамедлительно смените пароли с безопасного устройства. Проверьте разрешения Accessibility и включите Play Protect. При сомнениях используйте безопасный режим или выполните сброс до заводских настроек. Подробная инструкция и чек‑лист действий доступны в нашей публикации.

Заключение и ключевые рекомендации

  • Никогда не устанавливайте APK из рекламных ссылок.
  • Давайте Accessibility‑права только проверенным приложениям.
  • Включите Play Protect и автоматические обновления.
  • При подозрении — отключите интернет и следуйте инцидент‑runbook.

Если вы управляете корпоративным флотом устройств, подготовьте централизованную политику блокировки установки APK и автоматического мониторинга прав приложений.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Herodotus: защита от банковского трояна на Android
Безопасность

Herodotus: защита от банковского трояна на Android

Включить новый Пуск в Windows 11
Windows

Включить новый Пуск в Windows 11

Панель полей сводной таблицы Excel — руководство
Excel

Панель полей сводной таблицы Excel — руководство

Включить новое меню «Пуск» в Windows 11 (KB5067036)
Windows 11

Включить новое меню «Пуск» в Windows 11 (KB5067036)

Дублирование Диспетчера задач в Windows 11: как исправить
Windows

Дублирование Диспетчера задач в Windows 11: как исправить

Как посмотреть историю просмотра Reels в Instagram
Социальные сети

Как посмотреть историю просмотра Reels в Instagram