Malvertising kampány kémkedéssel
A Bitdefender Labs azonosított egy a Meta-platformon (különösen Facebook hirdetésein) terjedő malvertising kampányról, amely most kiterjedt az Android felhasználókra is. A kampány lényege, hogy a támadók Meta (Facebook) hirdetési rendszerét használják ki célzottan kettős célzásra, egyrészt ártalmatlannak tűnő, de valójában rosszindulatú hirdetéseket jelenítenek meg, másrészt Android felhasználókat céloznak meg hamis TradingView Premium alkalmazást kínálva. A hirdetésre kattintók egy ál TradingView weboldalra kerülnek, ahonnan letölthetnek egy APK fájlt. Ez az alkalmazás látszólag hasznos, de valójában egy fejlett kémeszközt a Brokewell-alapú crypto-stealer RMAT-ot telepít — mégpedig felhasználói engedély nélkül, álcázott frissítési értesítések mögé rejtve.
A telepített kártevő azonnal érzékeny rendszerengedélyeket kér, mint például Accessibility hozzáférés, manipulálja az appok kijelzőjét, téves PIN-kérő ablakokat jelenít meg, és hamis bejelentkezéseket generál, például YouTube alkalmazás felületein. De ennél jóval veszélyesebb, egy valódi RAT-ként működik, lehetővé téve kétlépcsős hitelesítési módszerek megkerülését, eszközátvételt, SMS-elfogást, kriptovaluta-csalást, üzenetek és képernyők megfigyelését, valamint a felhasználói aktivitás valós idejű felügyeletét.
A Bitdefender kiemeli, hogy július végétől legalább 75 ilyen rosszindulatú Meta-hirdetés jelent meg, amelyek több tízezer EU-beli felhasználót értettek el. A kampány figyelemfelkeltő, mivel jellemzően ártalmatlannak tűnő hirdetéseket helyez el Meta rendszerében — Trusted TradingView arculatot használva —, és régió-specifikus vizuálokat vet be, például a koreai Labubu karaktert, hogy növelje a kattintási hajlandóságot.
Ez az Androidos malvertising kampány szakértelmi csúcsot jelent: a Brokewell kémprogram fejlett variánsa kiváltképp veszélyessé teszi, mert nem csak bejelentkezési adatokat lop, hanem valós idejű hozzáférést kínál. Emiatt a védekezés különösen nehéz, hiszen a felhasználók egy nem hivatalos, de megbízhatónak tűnő appra kattintanak, majd minden észlelés nélkül fertőződik az eszközük.
