骗子利用 Meta 恶意广告，通过 Brokewell 木马攻击安卓用户

Bitdefender 警告称，攻击者正在滥用 Meta 广告来传播适用于 Android 的假 TradingView Premium 应用程序，并传播 Brokewell 恶意软件来窃取加密货币和数据。

Bitdefender 警告称：“研究人员最近在 Facebook 上发现了一波恶意广告，这些广告以免费提供 Android 版 TradingView Premium 应用来引诱目标用户。” “此次活动表明，网络犯罪分子正在不断调整其策略以追踪用户行为。

通过瞄准移动用户并将恶意软件伪装成可信交易工具，攻击者希望利用人们对加密应用和金融平台日益增长的依赖来牟利。”

自 7 月 22 日以来，滥用 TradingView 的恶意广告活动已使用了至少 75 条虚假广告，诱使 Android 用户从克隆网站下载带木马的 .apk。

安装后，该应用程序会请求访问权限，隐藏在虚假的更新提示后，并诱骗用户输入锁屏PIN码。之后，它会部署Brokewell，这是一种经过改进的间谍软件和远程访问木马（RAT），拥有强大的监控、控制和窃取敏感数据的功能，并大规模攻击欧盟用户。

据 Bitdefender 称，这款恶意 Android 应用非常复杂，使用混淆技术、原生库和反射技术来隐藏大部分代码。该恶意软件包含用于覆盖应用程序的 JSON 配置以及包含主要有效载荷的解密 .dex 文件。

Brokewell 恶意软件通过 Tor 和 WebSocket 与 C2 服务器通信，并支持广泛的间谍命令，包括剪贴板和电子邮件抓取、键盘记录、摄像头/麦克风访问、地理位置追踪、短信/通话控制、加密钱包窃取、系统操控以及隐身/卸载保护。

它还可以执行高级设备操作，例如 VNC 流式传输、设备模式切换、覆盖注入和远程执行，使其成为一款功能齐全的 RAT，能够对受感染的 Android 设备进行全面监控和控制。

一旦安装，该恶意软件就远不止一个简单的凭证窃取程序。它是 Brokewell 恶意软件的高级版本，后者是一款功能齐全的 间谍软件和远程访问木马 (RAT)， 拥有大量旨在监视、控制和窃取受害者设备敏感信息的工具。

其功能包括：

• 加密货币盗窃——扫描 BTC、ETH、USDT、IBAN 等。
• 2FA 绕过——从 Google Authenticator 抓取并导出代码。
• 账户接管——提供覆盖虚假登录屏幕的可能性
• 监视——录制屏幕、键盘记录、窃取 cookie、激活摄像头和麦克风以及跟踪实时位置。
• 短信拦截——劫持默认短信应用程序来拦截消息，包括银行和 2FA 代码。
• 远程控制——通过 Tor 和 WebSockets 与攻击者通信，发送短信、拨打电话、卸载应用程序甚至自毁的命令。

简而言之，这是迄今为止恶意广告活动中发现的最先进的 Android 威胁之一。”

专家建议只安装来自官方商店的应用程序，避免可疑广告，检查 URL，并审查应用程序权限。

随着智能手机上移动银行、加密钱包和双重身份验证 (2FA) 应用的兴起，风险比以往任何时候都高。一台被入侵的安卓设备就可能泄露受害者的财务、个人通信和敏感账户信息。

技术报告：

https://www.bitdefender.com/en-us/blog/labs/malvertising-campaign-on-meta-expands-to-android-pushing-advanced-crypto-stealing-malware-to-users-worldwide