黑客滥用 Meta 平台投放恶意广告,借 Brokewell 木马攻击安卓用户
- 浏览次数 230
- 喜欢 0
HackerNews 编译,转载请注明出处:
网络犯罪分子正滥用Meta的广告平台,通过虚假的“免费TradingView Premium应用”优惠来传播针对Android设备的Brokewell恶意软件。
该活动以加密货币资产为目标,自至少7月22日起通过大约75条本地化广告持续进行。
Brokewell恶意软件在2024年初就已出现,其功能广泛,包括窃取敏感数据、远程监控和控制受感染的设备。
接管设备
网络安全公司Bitdefender的研究人员调查了该活动中的广告,这些广告使用了TradingView的品牌标识和视觉元素,以“免费高级版应用”的承诺诱骗潜在受害者。
[caption id="attachment_60567" align="alignnone" width="380"]
导致 Brokwell 恶意软件的虚假TradingView广告
来源 Bitdefender[/caption]
他们指出,该活动专门针对移动用户设计,如果从其他操作系统访问广告,只会看到无害内容。
然而,从Android设备点击广告,会被重定向到一个模仿原始TradingView网站的页面,该页面提供了一个托管在tradiwiw[.]online/的恶意tw-update.apk文件。
“被投放的应用会请求无障碍权限,一旦获得权限,屏幕就会被一个假的更新提示覆盖。在后台,该应用正在授予自身所有需要的权限。”研究人员在本周的一份报告中表示。
此外,该恶意应用还通过模拟需要锁屏密码的Android更新请求,试图获取设备的解锁PIN码。
[caption id="attachment_60568" align="alignnone" width="580"]
虚假 TradingView 应用程序试图获取 Android 设备锁屏代码
来源:Bitdefender[/caption]
据Bitdefender称,这个假的TradingView应用是“Brokewell恶意软件的一个高级版本”,拥有“庞大的工具库,旨在监控、控制和窃取敏感信息”:
- 扫描BTC、ETH、USDT、银行账号(IBANs)
- 窃取并导出Google Authenticator中的代码(绕过双因素认证)
- 通过覆盖虚假登录界面来窃取账户
- 录制屏幕和键盘输入、窃取Cookie、激活摄像头和麦克风并跟踪位置
- 劫持默认短信应用以拦截消息,包括银行和双因素认证代码
- 远程控制 – 可通过Tor或Websocket接收命令来发送短信、拨打电话、卸载应用甚至自毁。
研究人员提供了该恶意软件工作原理的技术概述,以及一份包含130多个命令的扩展列表。
Bitdefender表示,此活动是一个更大规模操作的一部分,该操作最初使用冒充“数十个知名品牌”的Facebook广告来针对Windows用户。
消息来源:bleepingcomputer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文