Brokewell: il ritorno dello Spyware su Android

Lo spyware Brokewell è tornato a colpire.
Dopo aver mietuto vittime tra gli utenti desktop nel 2024 sfruttando falsi aggiornamenti Chrome ed evolvendosi con annunci ingannevoli legati al mondo delle criptovalute, il malware ha ora esteso le sue operazioni anche ai dispositivi Android, sfruttando in maniera malevola la funzione annunci di Meta.

Secondo i ricercatori di Bitdefender Labs, la nuova campagna di malvertising rappresenta un’evoluzione preoccupante: gli smartphone, spesso usati contemporaneamente per lavoro e vita privata, sono concretamente un bersaglio privilegiato per il furto di dati, credenziali e risorse finanziarie.

Fonte ricerca Bitdefender Labs: https://www.bitdefender.com/en-us/blog/labs/malvertising-campaign-on-meta-expands-to-android-pushing-advanced-crypto-stealing-malware-to-users-worldwide

Cronologia Brokewell

Aprile 2024: Brokewell emerge per la prima volta durante un attacco tramite falsi aggiornamenti di Chrome. L’infezione veniva veicolata da pagine di phishing che spingevano l’utente a installare un APK malevolo. L’attacco era caratterizzato da capacità avanzate di furto di credenziali e controllo remoto. HackreadCyble

Maggio 2024: Fonti come PolySwarm confermano la presenza di Brokewell nel panorama del malware Android, sottolineando le sue abilità di Device Takeover, spyware e furto dati. blog.polyswarm.io

Maggio 2024 (CYFIRMA): Brokewell appare come “Trending Malware”, con funzionalità evolute, distribuzione tramite aggiornamenti falsi, e sviluppo attivo da parte del threat actor noto come Baron Samedit. CYFIRMA

Luglio–Agosto 2025: Inizia una nuova ondata della campagna, questa volta sfruttando il malvertising su Meta (Facebook/Instagram) con annunci fraudolenti che promettevano una versione gratuita di TradingView. Questi annunci spingevano gli utenti a installare un APK che conteneva Brokewell. Il malware mostra ancora più capacità orientate al furto di criptovalute e un’alta efficienza nel raggiungere potenziali vittim

Malvertising come punto di partenza della catena d’attacco

Gli aggressori sfruttano il sistema pubblicitario di Meta per diffondere annunci che appaiono del tutto legittimi.
Link verosimili che conducono a pagine web fasulle progettate per sembrare copie autentiche di siti affidabili.
L’utente ignaro è indotto a scaricare applicazioni che si presentano come strumenti legittimi utili e solo per quella occasione gratuiti, ma che una volta installati contengono codice malevolo.
In questa fase il malvertising si trasforma in phishing, convincendo l’utente a fidarsi di un contesto artificiale, per poi culminare nell’infezione malware vera e propria.
Una catena finemente orchestrata: parte da un annuncio, alletta tramite una esca ingannevole e si conclude con l’infezione del dispositivo.

Funzionalità avanzate di Brokewell

Una volta ottenute le autorizzazioni di accessibilità con falsi pretesti di aggiornamento, il malware può rubare criptovalute e chiavi private dei wallet, aggirare i sistemi di autenticazione a due fattori, prendere il controllo degli account online, ed esfiltrare credenziali e dati sensibili.
Queste capacità lo collocano nella categoria spyware/RAT avanzati, capaci non solo di compromettere il dispositivo ma anche di sfruttarlo come punto di accesso ad altri sistemi.

Pubblicità mirata come strumento criminale

Il successo della campagna deriva dall’uso combinato tra targeting di precisione e tecniche di elusione.

I criminali sfruttano a loro vantaggio le peculiarità benevole e performanti della piattaforma pubblicitaria di Meta, che appunto eticamente mostra l’inserzione solo agli utenti che corrispondono al profilo impostato (interessi, area geografica, lingua).
Traendo vantaggio da questa funzionalità le campagne malevole sono state configurate per restare fuori dal radar di molti ricercatori e conseguentemente passare inosservate.
I siti fraudolenti effettuano controlli tecnici (browser, parametri di tracciamento) per mostrare la pagina solo alle potenziali vittime, proponendo invece contenuti neutri a chi non in target per la truffa.
In tale maniera si riduce la probabilità di scoperta prematura e massimizza invece la resa criminale.

Dal phishing al malware: una minaccia di nuova generazione

La campagna Brokewell mostra come malvertising, phishing e malware non siano fenomeni separati, ma parti di un’unica catena criminale: il malvertising veicola l’inganno iniziale, il phishing costruisce la fiducia e spinge all’azione, il malware realizza il furto e il controllo.
Questa integrazione è particolarmente insidiosa nei contesti dove i dispositivi sono usati in modo promiscuo tra vita privata e lavoro, perché un singolo device compromesso può diventare vettore di rischio per l’azienda e di riflesso per l’intera supply chain.

I consigli per difendersi dalla catena d’attacco traggono come sempre le mosse da buone abitudini:
– Aggiornare costantemente sistemi operativi e applicazioni.
– Diffidare degli annunci online, soprattutto se promettono strumenti o guadagni legati alle criptovalute.
– Adottare soluzioni di sicurezza affidabili anche su smartphone.
– Separare i dispositivi personali da quelli aziendali, limitando il rischio di contaminazione e l’esposizione della supply chain.
– Rafforzare i controlli da parte delle piattaforme pubblicitarie, per impedire la diffusione di inserzioni fraudolente.

Il ritorno di Brokewell si inserisce nel ciclo di evoluzione e sofisticazione delle minacce che stiamo vivendo: non più campagne isolate, ma operazioni che uniscono pubblicità ingannevole, ingegneria sociale e codice malevolo.
In un ecosistema digitale interconnesso, non ci stancheremo di indicare come consapevolezza e prevenzione siano strumenti fondamentali per proteggere gli utenti privati e aziendali, e preservare la catena di fiducia su cui si regge l’economia digitale.

#cybersecurity #spyware #cyberthreat #android #malware #brokewell