Egy újonnan azonosított Android készülékeket támadó trójai vírus képes ellopni a felhasználók adatait, továbbá lehetővé teszi a támadók számára, hogy átvegyék az uralmat a fertőzött készülékek felett, jelentette be a ThreatFabric. A malware-t feltehetőleg underground csatornákon keresztül fogják majd népszerűsíteni, mint bérelhető szolgáltatás.
A Brokewellnek keresztelt vírus hamis alkalmazásfrissítéseken keresztül terjed, mint például a Chrome böngésző újabb verzióinak telepítésein, és egy osztrák digitális hitelesítési applikáció frissítésein keresztül, fertőzés után pedig minden készülékre töltött alkalmazást támad.
Az áldozatok adatainak megszerzése érdekében a malware hamis ablakokat nyit meg a célba vett telefonos alkalmazások felett. Képes továbbá a böngészőben tárolt cookiek megszerzésére, azáltal, hogy megnyitja a saját WebView-ját, betölti az eredeti oldalt, majd miután a felhasználó végzett a bejelentkezéssel, munkamenet sütiket tölt le. Mindemellett a ThreatFabric megfigyelte, hogy a vírus képes elmenti a készülékeket ért eseményeket, mint az értintések, húzások, szöveg beírások, megnyitott alkalmazások és a képernyőkön megjelenő információk.
A Brokewell menti az összes felsorolt információt, majd egy C&C szerverre küldi tovább. Az egyik ilyen szervert a „Brokewell Cyber Labs” adattár befogadására is használták, ahol pedig felfedezték a „Brokewell Android Loader” egyik forráskódját is. Mindkét esetben a fejlesztő egy Samedit báró nevű támadó volt, aki már legalább 2 éve ismert a kibertámadóknak nyújtott szolgáltatásai miatt.
A malware továbbá különböző kémkedési tevékenységeket is lehetővé tesz azáltal, hogy képes a hívásnaplót és lokációkat menteni, képernyőt streamelni de akár hangfelvételt is tud indítani. Különböző parancsok pedig lehetővé teszik a támadók számára, hogy műveleteket végezzenek az eszközök képernyőin, mint például érintések, húzások, kattintások, görgetések, szövegírás stb.
A Google közleménye szerint a Brokewell minden ismert verziója ellen védelmet nyújt a Google Play Protect, amely alapértelmezett minden Google Play szolgáltatással rendelkező Android készüléken. A Google Play Protect figyelmezteti a felhasználókat, továbbá letiltja az applikációkat, amennyiben rosszindulatú magatartást észlel, akár a nem Play-ről telepített alkalmazásokon is.
