Brokewell 安卓恶意软件通过仿冒TradingView 广告进行传播

网络犯罪分子正滥用Meta的广告平台，以“免费提供TradingView Premium应用”为诱饵，传播针对安卓系统的Brokewell恶意软件。

该活动以加密货币资产为攻击目标，至少从7月22日起便已启动，据估算已投放约75个本地化广告。 

Brokewell恶意软件自2024年初出现以来，具备一系列广泛功能，包括窃取敏感数据、远程监控和控制受感染设备。

接管设备

网络安全公司Bitdefender的研究人员对该活动中的广告进行了调查。发现这些广告盗用了TradingView的品牌标识和视觉元素，以“免费提供安卓高级版应用”为噱头引诱潜在受害者。

虚假的 TradingView 广告链接到 Brokwell 恶意软件

研究人员指出，该活动专为移动用户设计——若从其他操作系统访问广告，显示的将是无害内容；但通过安卓设备点击后，用户会被重定向至一个仿冒TradingView官方网站的页面，进而下载托管在tradiwiw[.]online/域名下的恶意文件tw-update.apk。

研究人员在本周的一份报告中表示：“这款植入的应用会申请无障碍权限，获得权限后，屏幕会被虚假的更新提示覆盖。而在后台，该应用正为自己获取所需的全部权限。”

此外，这款恶意应用还会通过模拟需要锁屏密码的安卓系统更新请求，试图获取设备解锁PIN码。

假冒TradingView应用程序试图获取Android设备锁定屏幕代码

根据Bitdefender的说法，这款仿冒TradingView的应用是“Brokewell恶意软件的高级版本”，配备了“旨在监控、控制和窃取敏感信息的庞大工具库”，具体功能包括：

·扫描比特币、以太坊、泰达币等加密货币资产及银行账号信息；

·窃取并导出谷歌验证器中的验证码（实现双因素认证绕过）；

·通过覆盖虚假登录界面窃取账户信息；

·录制屏幕、记录按键操作、窃取Cookie、激活摄像头和麦克风，并追踪设备位置；

·劫持默认短信应用以拦截信息，包括银行相关短信及双因素认证验证码；

·远程控制——可通过Tor网络或WebSocket接收指令，执行发送短信、拨打电话、卸载应用甚至自我销毁等操作。

研究人员还提供了该恶意软件工作原理的技术概述，以及包含130余条记录的支持指令扩展清单。

Bitdefender 表示，此次活动是一项大规模网络行动的一部分。该行动最初便利用Facebook广告仿冒“数十个知名品牌”，以Windows用户为攻击目标。