Cibercriminosos estão abusando das plataformas de publicidade da Meta com ofertas falsas de um aplicativo TradingView Premium gratuito que espalha o malware Brokewell para Android.
A campanha, que tem como alvo ativos de criptomoedas, está em atividade desde pelo menos 22 de julho, por meio de cerca de 75 anúncios localizados.
O Brokewell existe desde o início de 2024 e possui um amplo conjunto de funcionalidades, incluindo o roubo de dados sensíveis, monitoramento remoto e controle do dispositivo comprometido.
Pesquisadores da empresa de cibersegurança Bitdefender investigaram os anúncios dessa campanha, que utilizam a marca e o visual do TradingView, atraindo potenciais vítimas com a promessa de um app premium gratuito para Android.
Eles destacam que a campanha foi especificamente projetada para usuários móveis, já que o acesso ao anúncio a partir de outro sistema operacional direcionava a conteúdos inofensivos.
No entanto, clicando a partir de um dispositivo Android, o usuário era redirecionado para uma página que imitava o site original do TradingView e oferecia um arquivo malicioso chamado tw-update.apk hospedado em tradiwiw[.]online/.
“O aplicativo baixado solicita permissões de accessibility e, após obtê-las, a tela é coberta por uma falsa mensagem de atualização.
Em segundo plano, o aplicativo concede a si mesmo todas as permissões necessárias,” explicam os pesquisadores no relatório divulgado esta semana.
Além disso, o app malicioso tenta obter o PIN para desbloquear o dispositivo simulando uma solicitação de atualização do Android que exige a senha da tela de bloqueio.
De acordo com a Bitdefender, o app falso do TradingView é “uma versão avançada do malware Brokewell” que vem “com um vasto arsenal de ferramentas projetadas para monitorar, controlar e roubar informações sensíveis”:
- Escaneia por BTC, ETH, USDT e números de contas bancárias (IBANs)
- Roubam e exportam códigos do Google Authenticator (bypass de 2FA)
- Sequestram contas por meio de telas falsas de login
- Capturam telas e keystrokes, roubam cookies, ativam câmera e microfone, além de rastrear a localização
- Hijack do app SMS padrão para interceptar mensagens, incluindo códigos bancários e de 2FA
- Controle remoto — pode receber comandos via Tor ou Websockets para enviar textos, fazer chamadas, desinstalar apps ou até mesmo se autodestruir
Os pesquisadores apresentam uma visão técnica detalhada do funcionamento do malware e uma lista estendida com mais de 130 comandos suportados.
A Bitdefender informa que essa campanha faz parte de uma operação maior, que inicialmente utilizava anúncios no Facebook falsificando “dezenas de marcas renomadas” para atacar usuários do Windows.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...