Киберпрестъпници използват рекламните платформи на Meta, за да примамват потребители с фалшива оферта за безплатна TradingView Premium апликация за Android. Кампанията всъщност разпространява зловредния софтуер Brokewell, известен със своите мащабни шпионски и контролни функции.

Кампания, насочена към криптоактиви

Според изследователи от Bitdefender, атаката е активна поне от 22 юли и включва около 75 локализирани реклами. Основната ѝ цел са потребители, които работят с криптовалути.
Brokewell се появява още в началото на 2024 г. и се отличава с широк спектър от възможности – от кражба на чувствителни данни до дистанционно наблюдение и пълен контрол върху заразеното устройство.

Как се осъществява измамата

Фалшивите реклами в социалните мрежи пренасочват потребители на Android към страница, имитираща официалния сайт на TradingView. Там се предлага за сваляне злонамереният файл tw-update.apk, хостван на домейна tradiwiw[.]online.

След инсталиране приложението изисква достъп до Accessibility Services и показва фалшив прозорец за „системна актуализация“. В същото време то си присвоява всички необходими разрешения във фонов режим.
Зловредният код дори се опитва да открадне PIN кода за отключване на устройството чрез симулиране на Android системна актуализация, изискваща въвеждане на паролата.

Функционалности на зловредния софтуер

Bitdefender описва фалшивата апликация като усъвършенствана версия на Brokewell, която разполага с богат набор от инструменти за кражба и контрол:

• Търсене на криптовалути (BTC, ETH, USDT) и банкови сметки (IBAN)

• Кражба на кодове от Google Authenticator (заобикаляне на двуфакторна автентикация)

• Придобиване на акаунти чрез фалшиви екрани за вход

• Запис на екрана и натисканията на клавиши, кражба на бисквитки, активиране на камерата и микрофона, проследяване на местоположението

• Похищаване на SMS приложението за прихващане на съобщения, включително банкови и 2FA кодове

• Дистанционно управление през Tor или Websockets – изпращане на SMS, осъществяване на обаждания, деинсталиране на приложения или дори самоунищожение на зловредния софтуер

Експертите подчертават, че командният набор на зловредната апликация включва над 130 различни инструкции.

По-широка мащабна операция

Bitdefender отбелязва, че тази кампания е само част от по-голяма операция. В първоначалния си етап киберпрестъпниците са използвали Facebook реклами, които имитират десетки известни брандове, за да атакуват потребители на Windows.
Сега фокусът е преместен към мобилните устройства и конкретно към потребителите на Android, което увеличава риска от компрометиране на лични данни и финансови загуби.