网络犯罪分子正在滥用 Meta 的广告平台,以“免费获取 TradingView Premium 应用”为诱饵,向 Android 用户投放恶意广告,传播 Brokewell 恶意软件。
这一攻击行动自 7 月 22 日起活跃,涉及约 75 个本地化广告,主要瞄准加密货币资产用户。
Brokewell 恶意软件最早在 2024 年初被发现,具备广泛的功能,包括窃取敏感信息、远程监控以及完全控制受感染设备。
假冒 TradingView 推广
Bitdefender 的研究人员对这波广告进行了调查。攻击者利用 TradingView 的品牌和视觉元素,向用户承诺“免费 Premium 应用”。
研究显示,该攻击专门针对移动端用户设计——如果在非 Android 系统上点击广告,则只会显示无害内容;但在 Android 上访问时,会被重定向至一个仿冒的 TradingView 网站,诱导下载恶意的 tw- update.apk,该文件托管在 tradiwiw[.]online/ 域名下。
研究人员指出,安装后的恶意应用会立即索取辅助功能权限,并在获得权限后用一个假的“更新提示”遮盖屏幕,同时在后台悄悄授予自己所有所需权限。
更具隐蔽性的是,该应用还会通过模拟 Android 系统更新请求,引诱受害者输入锁屏密码,以窃取设备 PIN 码。
高级版本的 Brokewell 恶意软件
据 Bitdefender 报告,这款假冒 TradingView 应用实际上是 Brokewell 恶意软件的高级版本,内置了庞大的攻击工具集,能够全面监控、控制并窃取用户的敏感信息:
重点能力包括:
1.扫描并窃取 BTC、ETH、USDT 等加密资产及银行账户信息(IBAN);
2.窃取并导出 Google Authenticator 动态验证码,绕过双重认证;
3.通过伪造登录界面窃取各类账户凭证;
4.记录屏幕和按键输入、窃取浏览器 Cookie、启用摄像头和麦克风、追踪地理位置;
5.劫持默认 短信应用,拦截银行验证码及 2FA 验证短信;
6.通过 Tor 或 WebSocket 接收远程指令,可执行发送短信、拨打电话、卸载应用甚至自毁等操作。
研究人员指出,该恶意程序的完整命令集超过 130 条,展现出极高的攻击复杂度。
Bitdefender 还强调,这并非孤立行动。早期阶段,攻击者曾利用 Facebook 广告冒充数十个知名品牌,针对 Windows 用户 发动攻击。而此次 Android 平台的投毒,则是这一更大规模行动的延伸。
发表评论
您还未登录,请先登录。
登录