Os cibercriminosos estão cada vez mais vistas do desktop para o celular, explorando a plataforma de publicidade da Meta para distribuir um sofisticado Android Banking Trojan disfarçado de um aplicativo Premium Free Tradingview.
O Bitdefender Labs alerta que esses atores de ameaças mudaram táticas após meses direcionando os usuários do Windows com anúncios falsos de negociação e criptomoeda, agora focando em todo o mundo nos proprietários de smartphones.
Desde 22 de julho de 2025, os pesquisadores têm identificado Pelo menos 75 anúncios do Facebook prometendo uma versão premium gratuita do TradingView para Android.
Em 22 de agosto, esses anúncios haviam atingido dezenas de milhares de usuários em toda a União Europeia. Os anúncios apresentam a marca oficial do TradingView e visuais familiares – incluindo uma variante emparelhada com um mascote caprichoso de Labubu – para atrair cliques.
Os usuários de desktop que ficam fora do segmento Android alvo são redirecionados para conteúdo inócuo, enquanto os usuários móveis são levados para um site clonado em nova visão[.]Online, onde eles baixam um arquivo .apk infectado de Tradiwiw[.]online/tw-update.apk.
Uma vez instalado, o gotas (MD5 788CB1965585F5D7B11A0CA35D3346CC) descompacta um apk compactado (58D6FF96C4CA734CD7DFACC235E105BD) que imediatamente solicita acesso às permissões extensivas, acessibilidade.
Os pedidos falsos de “atualização” mascaram a solicitação, e o aplicativo usa sobreposições em aplicativos comuns como o YouTube para indicar os usuários a baixar ferramentas maliciosas adicionais, como um instalador de Venmo falso. Depois que a vítima concede permissões, o conta -gotas se desinstala, apagando evidências de seu papel
A análise mostra que a carga útil é uma versão evoluída do Spyware Brokewell e do Acesso Remoto Trojan (RAT). Os recursos incluem:
- Roubo de cripto: digitalizando BitcoinEthereum, USDT, ibans e muito mais.
- 2FA Bypass: Redução de códigos do Google Authenticator.
- Aquisição da conta: sobreposição de telas de login falso.
- Vigilância: telas de gravação, keylogging, biscoitos roubando, ativando a câmera e microfone, rastreamento de localização ao vivo.
- Interceptação de SMS: sequestrar aplicativos SMS padrão para capturar códigos bancários e de autenticação.
- Controle remoto: Comunicação sobre o Tor e WebSockets, executando comandos para enviar SMS, colocar chamadas, desinstalar aplicativos ou se autodestruir.
O aplicativo está fortemente ofuscado, alavancando duas bibliotecas nativas para descriptografar e carregar um recurso .dex oculto em tempo de execução.
Uma configuração JSON define alvos de sobreposição em aplicativos populares, e a comunicação C2 ocorre através dos canais TOR e WebSocket Secure.
O suporte de comando estendido abrange tudo, desde o dumping da área de transferência (doGETCLIPBOARDVAL) para ativar as opções do desenvolvedor, alternar as configurações do dispositivo e capturar fluxos de câmera frontal e traseira.
Essa onda do Android faz parte de uma operação mais ampla que inicialmente direcionou os usuários de desktop em dezenas de marcas – da binance, Bitget e Bybit a Etoro, Ledger e Revolut – além de figuras públicas como o ex -presidente dos EUA, Donald Trump.
Os anúncios estão localizados em idiomas como vietnamita, portuguesa, espanhola, turca, tailandesa, árabe, chinesa e mais, muitas vezes alinhados com a popularidade da marca regional (por exemplo, limão.me na América Latina, Exesidade na Tailândia, Blackbull na Ásia-Pacífico)
Mitigações
Bitdefender Atualmente, a segurança móvel para Android sinaliza o conta -gotas como Android.trojan.dropper.avv e a carga útil como android.trojan.banker.avm. Os componentes do Windows da campanha são detectados como genéricos.msil.wmitask (droppers) e genérico.js.wmitask (scripts front-end). Para ficar seguro:
- Instale apenas aplicativos de lojas oficiais como o Google Play
- Examinar os anúncios do Facebook e os domínios parecidos antes de clicar
- Revise cuidadosamente as permissões de aplicativos, especialmente as solicitações de acessibilidade e pino de tela de bloqueio
- Use o scamio chatbot do bitdefender ou verificador de link para verificar links suspeitos
- Empregue uma solução de segurança móvel confiável para bloquear essas ameaças antes da instalação
À medida que o uso bancário móvel e o uso de criptomoedas cresce, esta campanha ressalta uma evolução perigosa: os smartphones não são mais alvos secundários, mas mecanismos de entrega primordiais para malware avançado. A vigilância contra o malvertismo nunca foi tão crítica.
Encontre esta história interessante! Siga -nosLinkedIneXPara obter mais atualizações instantâneas.