Los ciberdelincuentes vuelven a atacar a los operadores de criptomonedas al intentar infectar dispositivos Android con una versión actualizada de una amenaza de malware conocida, valiéndose de una campaña de malvertising.
Los investigadores de seguridad de Bitdefender Labs detectaron lo que describieron como «una de las amenazas para Android más avanzadas observadas en una campaña de malvertising (un ciberataque que inyecta código malicioso en anuncios legítimos en línea, propaga malware o redirige a los usuarios a sitios web dañinos para robar información o infectar dispositivos) hasta la fecha» a operadores de criptomonedas.
La campaña se creó en la red publicitaria de Meta, que abarca Facebook, Instagram, Messenger y WhatsApp, así como aplicaciones de terceros y sitios móviles asociados con la empresa.
¿Cómo funciona esta campaña de malvertising hacia los operadores de criptomonedas?
Los anuncios promocionaban una versión Premium «gratuita» de TradingView, una plataforma en línea para el seguimiento de los mercados financieros, la creación de gráficos y el intercambio de ideas de trading.
La campaña se detectó el 22 de julio de este año y contenía al menos 75 anuncios maliciosos. En un mes, los anuncios «llegaron a decenas de miles de usuarios solo en la Unión Europea», según los investigadores.
Los anuncios se dirigían específicamente a usuarios de Android y los redirigían a una página de destino falsa que suplantaba a TradingView. Quienes lo visitaron desde sus dispositivos de escritorio fueron redirigidos a un sitio web diferente y seguro. Sin embargo, quienes usaron un dispositivo Android recibieron un «troyano de robo de criptomonedas altamente avanzado: una versión evolucionada del malware Brokewell«.
¿Qué puede hacer el malware Brokewell?
Brokewell es capaz de capturar credenciales de inicio de sesión a través de pantallas superpuestas, así como de interceptar cookies de sesión. También puede registrar una amplia gama de acciones del usuario, como toques, deslizamientos y entradas de texto, y obtener información como registros de llamadas, geolocalización, llamadas de audio y más.
Finalmente, las variantes más recientes pueden actuar como troyanos de acceso remoto completos, lo que permite a los atacantes controlar el dispositivo a distancia.
Sin embargo, a pesar de sus funciones altamente avanzadas, el malware sigue generando las mismas señales de alerta que cualquier otro: solicita permisos importantes, como acceso de accesibilidad, mientras se esconde tras falsas solicitudes de actualización. También intenta engañar a la víctima para que revele el PIN de su pantalla de bloqueo.
Información de TechRadar / Redacción CeluFlash
No dejes de leer: Apple presentaría los nuevos iPhone 17 y otras novedades en el “Awe Dropping”
Nuestras redes sociales, únete y sé parte de la tecnología