Uma nova e perigosa campanha de malware está a utilizar as plataformas de publicidade da Meta para enganar utilizadores de Android e roubar os seus ativos de criptomoeda. Através de anúncios falsos que prometem uma versão premium gratuita da popular aplicação de análise de mercados TradingView, os cibercriminosos estão a distribuir uma variante avançada do malware Brokewell.
A campanha, que está ativa pelo menos desde 22 de julho, já conta com cerca de 75 anúncios localizados para diferentes regiões, representando uma ameaça global para os entusiastas de criptomoedas.
Uma falsa app da TradingView como isco
Segundo um relatório da empresa de cibersegurança Bitdefender, os anúncios foram especificamente desenhados para visar utilizadores de telemóveis. Quem acede aos mesmos a partir de um computador é redirecionado para conteúdo inofensivo, mas os utilizadores de Android são levados para uma página que imita o site oficial da TradingView.
Nesta página, as vítimas são incentivadas a descarregar um ficheiro de instalação malicioso (APK). Uma vez instalada, a aplicação falsa inicia o seu processo de ataque para tomar controlo total do dispositivo.
Como o malware assume o controlo do seu telemóvel
O processo de infeção do Brokewell é particularmente engenhoso. A aplicação solicita permissões de acessibilidade, que são essenciais para as suas operações maliciosas. Assim que o utilizador concede este acesso, um falso ecrã de atualização aparece, enquanto, em segundo plano, o malware concede a si mesmo todas as restantes permissões de que necessita.
Para piorar a situação, a aplicação maliciosa simula um pedido de atualização do sistema operativo Android que exige a introdução do código de bloqueio do ecrã, conseguindo assim roubar o PIN do utilizador.
Um arsenal completo para espionagem e roubo
A versão do Brokewell utilizada nesta campanha, que circula desde o início de 2024, possui um vasto conjunto de capacidades para monitorizar, controlar e roubar informação sensível. Uma vez ativo no telemóvel, o malware pode realizar uma série de ações perigosas.
O seu principal objetivo é o roubo de criptomoedas, procurando ativamente por carteiras de Bitcoin, Ethereum e USDT, bem como por números de contas bancárias (IBAN). Consegue também extrair os códigos da aplicação Google Authenticator, permitindo contornar a autenticação de dois fatores (2FA).
As suas capacidades de espionagem são extensas, incluindo a gravação do ecrã e do que é teclado, o roubo de cookies de navegação, a ativação remota da câmara e do microfone, e o rastreamento da localização do dispositivo. Para roubar credenciais, o Brokewell sobrepõe ecrãs de login falsos sobre aplicações legítimas.
Além disso, o malware pode assumir o controlo da aplicação de SMS para intercetar mensagens, incluindo códigos bancários ou de 2FA. Com mais de 130 comandos remotos, os atacantes podem enviar mensagens, fazer chamadas, desinstalar aplicações ou até mesmo forçar a autodestruição do malware para não deixar rasto.
A Bitdefender nota que esta campanha faz parte de uma operação maior que, inicialmente, visava utilizadores do Windows através de anúncios no Facebook que imitavam dezenas de marcas conhecidas.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech