Los ciberdelincuentes están aprovechando las plataformas publicitarias de Meta con ofertas engañosas que prometen la aplicación TradingView Premium gratuita. En realidad, estas descargas propagan el malware Brokewell para Android.

Objetivo de la campaña

La campaña se centra en usuarios de criptomonedas y ha estado activa desde al menos el 22 de julio, utilizando aproximadamente 75 anuncios localizados en distintas regiones.

Brokewell, activo desde principios de 2024, posee múltiples funciones que incluyen la extracción de datos sensibles, el monitoreo remoto y el control total de dispositivos comprometidos.

Cómo secuestra los dispositivos

Investigadores de la compañía de ciberseguridad Bitdefender analizaron los anuncios, que emplean la marca y elementos visuales de TradingView para engañar a los usuarios prometiendo la app premium gratuita.

El ataque está diseñado específicamente para usuarios móviles. Acceder desde otro sistema operativo dirige a contenido inofensivo, mientras que en Android se redirige a un sitio web que imita a TradingView y ofrece un archivo malicioso tw-update.apk alojado en tradiwiw[.]online/.

Según Bitdefender, “la aplicación descargada solicita permisos de accesibilidad y, al obtenerlos, muestra un falso mensaje de actualización mientras se otorga todos los permisos necesarios en segundo plano”.

Además, la app intenta obtener el PIN de desbloqueo simulando una actualización del sistema, para acceder al dispositivo de manera completa.

Funciones avanzadas del malware Brokewell

La versión maliciosa de TradingView incluye un conjunto extenso de herramientas para monitorizar, controlar y robar información:

• Escaneo de criptomonedas: BTC, ETH, USDT, y números de cuentas bancarias (IBAN)
• Robo de códigos de Google Authenticator (bypass de 2FA)
• Captura de cuentas mediante pantallas de inicio de sesión falsas
• Grabación de pantalla y teclado, robo de cookies, activación de cámara y micrófono, seguimiento de ubicación
• Secuestro de la app SMS predeterminada para interceptar mensajes, incluidos códigos bancarios y 2FA
• Control remoto: recibir órdenes vía Tor o WebSockets para enviar mensajes, hacer llamadas, desinstalar apps o incluso autodestruirse

Bitdefender ofrece un análisis técnico detallado y una lista extensa de comandos soportados, que supera las 130 instrucciones diferentes.

Contexto de la campaña

Este ataque forma parte de una operación mayor que anteriormente utilizaba anuncios en Facebook que imitaban a decenas de marcas conocidas para afectar usuarios de Windows, mostrando un patrón similar de engaño y distribución de malware.