网络犯罪分子正滥用 Meta 的广告平台,以 " 免费提供 TradingView Premium 应用 " 为诱饵,传播针对安卓系统的 Brokewell 恶意软件。
该活动以加密货币资产为攻击目标,至少从 7 月 22 日起便已启动,据估算已投放约 75 个本地化广告。
Brokewell 恶意软件自 2024 年初出现以来,具备一系列广泛功能,包括窃取敏感数据、远程监控和控制受感染设备。
接管设备
网络安全公司 Bitdefender 的研究人员对该活动中的广告进行了调查。发现这些广告盗用了 TradingView 的品牌标识和视觉元素,以 " 免费提供安卓高级版应用 " 为噱头引诱潜在受害者。
研究人员指出,该活动专为移动用户设计——若从其他操作系统访问广告,显示的将是无害内容;但通过安卓设备点击后,用户会被重定向至一个仿冒 TradingView 官方网站的页面,进而下载托管在 tradiwiw [ . ] online/ 域名下的恶意文件 tw-update.apk。
研究人员在本周的一份报告中表示:" 这款植入的应用会申请无障碍权限,获得权限后,屏幕会被虚假的更新提示覆盖。而在后台,该应用正为自己获取所需的全部权限。"
此外,这款恶意应用还会通过模拟需要锁屏密码的安卓系统更新请求,试图获取设备解锁 PIN 码。
根据 Bitdefender 的说法,这款仿冒 TradingView 的应用是 "Brokewell 恶意软件的高级版本 ",配备了 " 旨在监控、控制和窃取敏感信息的庞大工具库 ",具体功能包括:
·扫描比特币、以太坊、泰达币等加密货币资产及银行账号信息;
·窃取并导出谷歌验证器中的验证码(实现双因素认证绕过);
·通过覆盖虚假登录界面窃取账户信息;
·录制屏幕、记录按键操作、窃取 Cookie、激活摄像头和麦克风,并追踪设备位置;
·劫持默认短信应用以拦截信息,包括银行相关短信及双因素认证验证码;
·远程控制——可通过 Tor 网络或 WebSocket 接收指令,执行发送短信、拨打电话、卸载应用甚至自我销毁等操作。
研究人员还提供了该恶意软件工作原理的技术概述,以及包含 130 余条记录的支持指令扩展清单。
Bitdefender 表示,此次活动是一项大规模网络行动的一部分。该行动最初便利用 Facebook 广告仿冒 " 数十个知名品牌 ",以 Windows 用户为攻击目标。
