02/09/25
Специалисты зафиксировали как минимум 75 рекламных объявлений, которые начали распространяться не позднее 22 июля. Все они оформлены с использованием фирменного стиля TradingView и адресованы исключительно пользователям Android — при открытии на другой платформе вредоносная нагрузка не загружается, пишет Securitylab.
Переход по рекламному объявлению с Android-устройства приводит на поддельный сайт, стилизованный под ресурс TradingView, где пользователю предлагается установить APK-файл tw-update.apk, размещённый на домене tradiwiw[.]online.
После запуска приложение запрашивает права «Универсального доступа», а затем выводит на экран фиктивное сообщение об обновлении системы. В фоновом режиме оно автоматически активирует все необходимые разрешения — включая доступ к экрану, камере, микрофону, местоположению и SMS-сообщениям. Одновременно вредонос пытается получить код блокировки устройства, выдавая поддельный запрос от имени Android.
По данным Bitdefender, это продвинутая версия Brokewell, действующая как полноценный RAT с широким набором функций. Злоумышленники используют её для поиска криптовалютных кошельков (BTC, ETH, USDT) и банковских реквизитов (включая IBAN); захвата кодов Google Authenticator для обхода двухфакторной аутентификации; подмены экранов входа для кражи учётных данных; записи нажатий клавиш, снятия скриншотов и перехвата cookie-файлов; перехвата SMS с кодами подтверждения и уведомлениями банков; удалённого управления устройством через Tor или WebSocket: можно отправлять SMS, совершать звонки, удалять приложения или удалять сам вредонос.
Bitdefender отмечает, что кампания с поддельным TradingView является частью более масштабной атаки, начатой ранее против пользователей Windows. Тогда мошенники использовали аналогичные объявления от имени десятков известных брендов.
