Cibercriminosos estão abusando das plataformas de publicidade da Meta com ofertas falsas de um aplicativo TradingView Premium gratuito que espalha o malware Brokewell para Android.
A campanha, que tem como alvo ativos de criptomoedas, está em atividade desde pelo menos 22 de julho, por meio de cerca de 75 anúncios localizados.
O Brokewell existe desde o início de 2024 e possui um amplo conjunto de funcionalidades, incluindo o roubo de dados sensíveis, monitoramento remoto e controle do dispositivo comprometido.
Pesquisadores da empresa de cibersegurança Bitdefender investigaram os anúncios dessa campanha, que utilizam a marca e o visual do TradingView, atraindo potenciais vítimas com a promessa de um app premium gratuito para Android.
Eles destacam que a campanha foi especificamente projetada para usuários móveis, já que o acesso ao anúncio a partir de outro sistema operacional direcionava a conteúdos inofensivos.
No entanto, clicando a partir de um dispositivo Android, o usuário era redirecionado para uma página que imitava o site original do TradingView e oferecia um arquivo malicioso chamado tw-update.apk hospedado em tradiwiw[.]online/.
“O aplicativo baixado solicita permissões de accessibility e, após obtê-las, a tela é coberta por uma falsa mensagem de atualização.
Em segundo plano, o aplicativo concede a si mesmo todas as permissões necessárias,” explicam os pesquisadores no relatório divulgado esta semana.
Além disso, o app malicioso tenta obter o PIN para desbloquear o dispositivo simulando uma solicitação de atualização do Android que exige a senha da tela de bloqueio.
De acordo com a Bitdefender, o app falso do TradingView é “uma versão avançada do malware Brokewell” que vem “com um vasto arsenal de ferramentas projetadas para monitorar, controlar e roubar informações sensíveis”:
- Escaneia por BTC, ETH, USDT e números de contas bancárias (IBANs)
- Roubam e exportam códigos do Google Authenticator (bypass de 2FA)
- Sequestram contas por meio de telas falsas de login
- Capturam telas e keystrokes, roubam cookies, ativam câmera e microfone, além de rastrear a localização
- Hijack do app SMS padrão para interceptar mensagens, incluindo códigos bancários e de 2FA
- Controle remoto — pode receber comandos via Tor ou Websockets para enviar textos, fazer chamadas, desinstalar apps ou até mesmo se autodestruir
Os pesquisadores apresentam uma visão técnica detalhada do funcionamento do malware e uma lista estendida com mais de 130 comandos suportados.
A Bitdefender informa que essa campanha faz parte de uma operação maior, que inicialmente utilizava anúncios no Facebook falsificando “dezenas de marcas renomadas” para atacar usuários do Windows.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...