Кибербезопасность переживает новый вызов, связанный с вредоносным ПО для Android, распространяемым через рекламную систему Facebook. Злоумышленники, используя как оружие привлекательные предложения от имени TradingView Premium, вводят пользователей в заблуждение, заманивая их загрузить вредоносное приложение с сайта, внешне напоминающего официальный портал TradingView. Акции, размещенные через Facebook, перенаправляют пользователей на клон веб-страницы new-tw-view[.]online, где им предлагается скачать APK-файл с адреса tradiwiw[.]online/tw-update.apk.
Механизм работы угрозы
Установив данное приложение, пользователи подвергаются воздействию трояна, способного похищать криптовалюту путем хитроумного манипулирования службами доступности и использованием накладывающихся экранов для захвата учетных записей и перехвата двухфакторных токенов. Мошенническое ПО требует предоставления широких прав доступа, принуждая пользователей активировать службы доступности и предоставлять права администратора устройства. Замаскированные обновления позволяют приложению скрываться, и в некоторых случаях вредонос удаляется сразу после этого, чтобы избежать обнаружения.
С начала июля 2025 года данная кампания стремительно распространяется по Европе и за ее пределами. Компанией Bitdefender было зафиксировано не менее 75 уникальных рекламных объявлений, которые достигли десятков тысяч пользователей в Евросоюзе. Атаки существенно локализованы, предлагаемые приманки адаптированы на более чем десяти языках, таких как вьетнамский, португальский, испанский, турецкий и арабский.
Технические детали кампании
Технически, APK-дроппер вычисляет контрольную сумму MD5 788cb1965585f5d7b11a0ca35d3346cc и распаковывает вложенный payload с контрольной суммой 58d6ff96c4ca734cd7dfacc235e105bd. Этот payload хранится в виде зашифрованного DEX-ресурса; встроенная библиотека извлекает ключи шифрования и загружает скрытые классы через DexClassLoader, обходя проверку подписи. Подключившись в качестве сервиса доступности, вредоносное ПО отслеживает нажатия клавиш, отображает фальшивые экраны входа для банковских и криптоприложений, а также сохраняет свое присутствие путем повторного включения службы доступности при перезагрузке и скрытия значка через PackageManager.setComponentEnabledSetting.
Используя инфраструктуру рекламы Facebook, злоумышленники адаптировали методы, ранее использовавшиеся для настольных платформ, к Android, создав мощную кампанию с глобальным охватом, нанося значительный финансовый урон. Пользователям и организациям необходимо тщательно проверять источники приложений, верифицировать URL-адреса и ограничивать загрузки из недоверенных репозиториев.
