Eine neue Android-Malware namens Brokewell sorgt für Alarm bei Sicherheitsforschern. Die Schadsoftware, die seit dem 22. Juli 2025 über gefälschte Werbeanzeigen auf Facebook verbreitet wird, zielt darauf ab, sensible Daten wie 2FA-Codes aus Google Authenticator, Bankverbindungen und Kryptowährungen zu stehlen. Laut Bitdefender nutzte die Kampagne mindestens 75 Anzeigen, die eine kostenlose Premium-Version der Finanz-App TradingView vorgaukeln, um Nutzer auf gefälschte Webseiten zu locken. Dort wird eine manipulierte APK-Datei heruntergeladen, die außerhalb des Google Play Stores installiert werden muss.
Brokewell ist besonders gefährlich, da sie als Spyware und Remote-Access-Trojaner (RAT) fungiert. Sie kann 2FA-Codes aus Google Authenticator und SMS abfangen, Tastatureingaben und Bildschirmaktivitäten aufzeichnen, Kamera, Mikrofon und Standortdaten ausspähen sowie Cookies stehlen, um Konten zu übernehmen. Durch das Überlagern anderer Apps mit gefälschten Anmeldeseiten täuscht sie Nutzer zusätzlich. Die Malware erlaubt zudem eine vollständige Fernsteuerung infizierter Geräte, einschließlich dem Versand von SMS, dem Tätigen von Anrufen, dem Löschen von Apps oder sogar der Aktivierung eines Selbstzerstörungsmechanismus. Sicherheitsforscher bezeichnen Brokewell als eine der fortschrittlichsten Bedrohungen ihrer Art.
Die Schadsoftware tarnt ihre umfangreichen Berechtigungsanforderungen, die über die Android-Accessibility-Funktionen gewährt werden, durch gefälschte Update-Bildschirme. Sie ist in mehreren Sprachen, darunter Deutsch, Englisch, Spanisch und weitere, verfügbar, was auf eine globale Zielgruppe hindeutet. Die Kampagne hat allein in der EU bereits zehntausende Nutzer erreicht.
Zur Vorsorge empfehlen Experten, Apps nur aus vertrauenswürdigen Quellen wie dem Google Play Store zu installieren und Berechtigungsanforderungen kritisch zu prüfen. Auch bei offiziellen Stores sollten Bewertungen und Herausgeber überprüft werden. Nutzer sollten misstrauisch gegenüber verlockenden Werbeanzeigen in sozialen Netzwerken sein, da diese zunehmend für die Verbreitung von Malware genutzt werden.
