Siber suçlular giderek daha fazla manzaralarını masaüstünden mobil cihazlara çeviriyor ve Meta’nın reklam platformundan yararlanıyor ve sofistike bir Android bankacılık Truva atını ücretsiz bir TRADINGVIEW premium uygulaması olarak dağıtıyor.
Bitdefender Labs, bu tehdit aktörlerinin, şimdi dünya çapında akıllı telefon sahiplerine odaklanan sahte ticaret ve kripto para reklamları olan Windows kullanıcılarını hedefledikten aylar sonra taktikleri değiştirdiği konusunda uyarıyor.
22 Temmuz 2025’ten bu yana, araştırmacılar Android için TradingView’in ücretsiz birinci sınıf versiyonunu vaat eden en az 75 Facebook reklamını belirlediler.
22 Ağustos’a kadar, bu reklamlar Avrupa Birliği’nde on binlerce kullanıcıya ulaşmıştı. Reklamlar, tıklamaları ikna etmek için resmi bir Labubu maskotu ile eşleştirilmiş bir varyant dahil olmak üzere resmi TradingView markalaşmasına ve tanıdık görsellere sahiptir.
Hedeflenen Android segmentinin dışına çıkan masaüstü kullanıcıları, mobil kullanıcılar yeni TW-View’da klonlanmış bir siteye götürülürken, zararsız içeriğe yönlendirilir[.]Çevrimiçi, burada enfekte bir .Apk dosyası indirdikleri yerden indirirler[.]Çevrimiçi/Tw-update.apk.
Kurulduktan sonra, damlalık (MD5 78CB1965585F5D7B11A0CA35D3346cc), tam erişim erişim dahil olmak üzere geniş izinler talep eden paketlenmiş bir APK (58D6FF96C4CA734CD7DFACC235E10555E1055BD) açar.
Sahte “Güncelleme” isteği maskelemeye teşvik eder ve uygulama, kullanıcıları sahte Venmo yükleyicisi gibi ek kötü amaçlı araçlar indirmeleri için kandırmak için YouTube gibi ortak uygulamalarda kaplamaları kullanır. Kurban izin verdikten sonra, damlalık kendini kaldırarak rolünün kanıtını siliyor
Analiz, yükün Brokewell casus yazılımlarının ve uzaktan erişim Trojan’ın (sıçan) gelişmiş bir sürümü olduğunu göstermektedir. Yetenekler şunları içerir:
- Kripto hırsızlığı: Bitcoin, Ethereum, USDT, Ibans ve daha fazlası için tarama.
- 2fa Bypass: Google Authenticator’dan kazıma kodları.
- Hesap devralma: Sahte giriş ekranlarını kaplama.
- Gözetim: Ekranları kaydetme, anahtarlama, çerezleri çalma, kamera ve mikrofonun etkinleştirilmesi, canlı konum izleme.
- SMS müdahalesi: Bankacılık ve kimlik doğrulama kodlarını yakalamak için varsayılan SMS uygulamalarını kaçırma.
- Uzaktan Kumanda: Tor ve WebSocks üzerinden iletişim kurmak, SMS göndermek için komutlar yürütmek, çağrıları yerleştirmek, uygulamaları kaldırma veya kendini yok etmek.
Uygulama yoğun bir şekilde gizlenmiştir, çalışma zamanında gizli bir .dex kaynağı şifresini çözmek ve yüklemek için iki yerel kütüphaneden yararlanır.
Bir JSON yapılandırması, popüler uygulamalardaki kaplama hedeflerini tanımlar ve C2 iletişimi hem TOR hem de Güvenli WebSocket kanalları aracılığıyla gerçekleşir.
Genişletilmiş Komut Desteği, pano boşluğundan her şeyi kapsıyor (doGETCLIPBOARDVAL) geliştirici seçeneklerini etkinleştirmek, cihaz ayarlarını değiştirme ve ön ve arka kamera akışlarını yakalamak için.
Bu Android Wave, başlangıçta Binance, Bitget ve Bybit’ten Etoro, Ledger ve Revolut’a kadar düzinelerce marka boyunca masaüstü kullanıcılarını hedefleyen daha geniş bir kötü niyetli operasyonun bir parçasıdır.
Reklamlar, Vietnamlılar, Portekizce, İspanyolca, Türk, Tayland, Arapça, Çince ve daha fazlası dahil olmak üzere dillerde yerelleştirilmiştir, genellikle bölgesel marka popülerliği ile uyumludur (örneğin, Latin Amerika’da Lemon.me, Tayland’da Exness, Asya-Pasifik’te Blackbull)
Hafifletme
Android için Bitdefender Mobil Güvenlik şu anda Android.Trojan.dropper.AVV ve taşıma olarak Android.Trojan.banker.AVM olarak işaretliyor. Kampanyanın Windows bileşenleri jenerik.msil.wmitask (Droppers) ve jenerik.js.wmitask (ön uç komut dosyaları) olarak algılanır. Güvenli kalmak için:
- Yalnızca Google Play gibi resmi mağazalardan uygulamalar yükleyin
- Tıklamadan önce Facebook reklamlarını ve benzeri alan adlarını inceleyin
- Uygulama izinlerini, özellikle erişilebilirlik ve kilit ekran pimi isteklerini dikkatlice inceleyin
- Şüpheli bağlantıları doğrulamak için Bitdefender’ın Scamio Chatbot veya Link Checker’ı kullanın
- Kurulumdan önce bu tehditleri engellemek için güvenilir bir mobil güvenlik çözümü kullanın
Mobil bankacılık ve kripto para kullanımı arttıkça, bu kampanya tehlikeli bir evrimin altını çiziyor: akıllı telefonlar artık ikincil hedefler değil, gelişmiş kötü amaçlı yazılımlar için ana dağıtım mekanizmaları. Korumaya karşı uyanıklık hiç bu kadar eleştirel olmamıştı.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.