Investigadores de cibersegurança identificaram uma campanha publicitária maliciosa no Facebook que procura enganar investidores de acções e criptomoedas com a promessa de acesso gratuito à versão premium do TradingView. O esquema começou a 22 de julho e, em poucas semanas, já terá alcançado dezenas de milhares de utilizadores, segundo a análise divulgada.
Estratégia de distribuição através de malvertising
O ataque recorre a malvertising, técnica que utiliza anúncios legítimos para aliciar vítimas. Ao clicar na publicação patrocinada, o utilizador é redireccionado para um site que imita o endereço oficial do TradingView, mas que, na verdade, hospeda um ficheiro APK malicioso. Após a instalação, o aplicativo solicita permissões de acessibilidade e outras autorizações avançadas, camuflando a sua verdadeira natureza com avisos falsos de actualização.
Esta cadeia de infecção exige apenas dois passos do alvo: tocar no anúncio e instalar o ficheiro. A simplicidade do processo aumenta o alcance do golpe, sobretudo entre utilizadores que procuram ofertas de serviços pagos sem custos.
Brokewell: funcionalidades de espionagem e roubo de dados
O ficheiro malicioso contém o Brokewell, um malware bancário com múltiplas capacidades ofensivas. Assim que recebe as permissões solicitadas, o software consegue:
· Obter credenciais de acesso a bancos, carteiras de criptomoedas e outros serviços financeiros;
· Interceptar SMS, incluindo códigos de autenticação de dois factores;
· Espiar aplicações como gestores de senhas ou e-mail;
· Registar tudo o que é escrito através de keylogger;
· Gravar áudio, vídeo e capturas de ecrã sem autorização;
· Criar sobreposições de ecrã que imitam páginas de login reais, recolhendo utilizadores e palavras-passe;
· Enviar mensagens, efectuar chamadas e desinstalar aplicações.
A investigação destaca o nível de ofuscação aplicado ao código. Partes do malware estão compiladas em C/C++, dificultando a análise. Além disso, componentes em formato .dex permanecem cifrados até à execução, reduzindo a eficácia de antivírus tradicionais.
Alvo prioritário: utilizadores Android
Com 72 % de quota no mercado brasileiro, o Android apresenta-se como a plataforma móvel mais visada na região analisada. A elevada adopção do sistema, combinada com a possibilidade de instalar aplicações a partir de ficheiros APK externos, torna-o particularmente vulnerável a campanhas deste tipo.
Embora a operação tenha sido observada em anúncios dirigidos a públicos de língua portuguesa, não há indícios de que esteja confinada a um único território. Qualquer utilizador que veja o anúncio e descarregue o ficheiro fora da loja oficial fica exposto às mesmas consequências.
Recomendações para mitigar o risco
Especialistas aconselham as seguintes medidas preventivas:
· Evitar instalar aplicações obtidas em anúncios ou links fora da Google Play Store;
· Confirmar o URL de todos os sites antes de descarregar software;
· Desconfiar de ofertas que prometem versões premium grátis;
· Verificar as permissões solicitadas por qualquer aplicação, negando acessos desnecessários;
· Manter o sistema operativo actualizado e utilizar soluções de segurança fiáveis.
A campanha permanece activa, pelo que os investigadores recomendam vigilância acrescida sempre que surgirem promoções de serviços financeiros em redes sociais. Qualquer suspeita de infecção deve ser tratada com a reposição de fábrica do equipamento e a alteração imediata de todas as credenciais utilizadas.
