- 20,213
- 46
- 8 Ноя 2022
TradingView оказался бесплатным билетом в ваш смартфон.
Согласно отчету Bitdefender, киберпреступники активно используют рекламные инструменты Meta* для доставки вредоносного ПО Brokewell, маскируя его под якобы бесплатную версию популярного финансового приложения TradingView Premium для Android. Кампания направлена на кражу криптовалют и других чувствительных данных с мобильных устройств.
Специалисты зафиксировали как минимум 75 таргетированных рекламных объявлений, которые начали распространяться не позднее 22 июля. Все они оформлены с использованием фирменного стиля TradingView и адресованы исключительно пользователям Android — при открытии на другой платформе вредоносная нагрузка не загружается.
Переход по рекламному объявлению с Android-устройства приводит на поддельный сайт, стилизованный под оригинальный ресурс TradingView, где пользователю предлагается установить APK-файл tw-update.apk, размещённый на домене tradiwiw[.]online.
После запуска приложение запрашивает права «Универсального доступа», а затем выводит на экран фиктивное сообщение об обновлении системы. В фоновом режиме оно автоматически активирует все необходимые разрешения — включая доступ к экрану, камере, микрофону, местоположению и SMS-сообщениям. Одновременно вредонос пытается получить код блокировки устройства, выдавая поддельный запрос от имени Android.
По данным Bitdefender, это продвинутая версия Brokewell , действующая как полноценный RAT с широким набором функций. Злоумышленники используют её для поиска криптовалютных кошельков (BTC, ETH, USDT) и банковских реквизитов (включая IBAN); захвата кодов Google Authenticator для обхода двухфакторной аутентификации; подмены экранов входа для кражи учётных данных; записи нажатий клавиш, снятия скриншотов и перехвата cookie-файлов; перехвата SMS с кодами подтверждения и уведомлениями банков; удалённого управления устройством через Tor или WebSocket: можно отправлять SMS, совершать звонки, удалять приложения или удалять сам вредонос.
Bitdefender отмечает, что кампания с поддельным TradingView является частью более масштабной атаки, начатой ранее против пользователей Windows. Тогда мошенники использовали аналогичные объявления от имени десятков известных брендов.
<span style="font-size: 7pt;">* Компания Meta и её продукты (включая Instagram, <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Facebook</span>, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ. </span>
Согласно отчету Bitdefender, киберпреступники активно используют рекламные инструменты Meta* для доставки вредоносного ПО Brokewell, маскируя его под якобы бесплатную версию популярного финансового приложения TradingView Premium для Android. Кампания направлена на кражу криптовалют и других чувствительных данных с мобильных устройств.
Специалисты зафиксировали как минимум 75 таргетированных рекламных объявлений, которые начали распространяться не позднее 22 июля. Все они оформлены с использованием фирменного стиля TradingView и адресованы исключительно пользователям Android — при открытии на другой платформе вредоносная нагрузка не загружается.
Переход по рекламному объявлению с Android-устройства приводит на поддельный сайт, стилизованный под оригинальный ресурс TradingView, где пользователю предлагается установить APK-файл tw-update.apk, размещённый на домене tradiwiw[.]online.
После запуска приложение запрашивает права «Универсального доступа», а затем выводит на экран фиктивное сообщение об обновлении системы. В фоновом режиме оно автоматически активирует все необходимые разрешения — включая доступ к экрану, камере, микрофону, местоположению и SMS-сообщениям. Одновременно вредонос пытается получить код блокировки устройства, выдавая поддельный запрос от имени Android.
По данным Bitdefender, это продвинутая версия Brokewell , действующая как полноценный RAT с широким набором функций. Злоумышленники используют её для поиска криптовалютных кошельков (BTC, ETH, USDT) и банковских реквизитов (включая IBAN); захвата кодов Google Authenticator для обхода двухфакторной аутентификации; подмены экранов входа для кражи учётных данных; записи нажатий клавиш, снятия скриншотов и перехвата cookie-файлов; перехвата SMS с кодами подтверждения и уведомлениями банков; удалённого управления устройством через Tor или WebSocket: можно отправлять SMS, совершать звонки, удалять приложения или удалять сам вредонос.
Bitdefender отмечает, что кампания с поддельным TradingView является частью более масштабной атаки, начатой ранее против пользователей Windows. Тогда мошенники использовали аналогичные объявления от имени десятков известных брендов.
<span style="font-size: 7pt;">* Компания Meta и её продукты (включая Instagram, <span class="extremist-highlight" title="Соцсеть признана экстремистской и запрещена на территории РФ">Facebook</span>, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ. </span>
- Источник новости
- www.securitylab.ru
