Malware migra da Meta para o YouTube para enganar novos usuários

26 set Malware migra da Meta para o YouTube para enganar novos usuários

Posted at 19:45h in Tech-Pt-br by

Uma campanha de anúncios maliciosos, que usava uma versão “premium grátis” do app Tradingview para espalhar malware, que estava circulando nos aplicativos da Meta, agora migrou para o YouTube e Google Ads. Pesquisadores da Bitdefender, que identificaram a primeira campanha, encontraram uma conta no YouTube que estava se passando pela conta oficial do TradingView.

No perfil falso, os criminosos estavam publicando vídeos que promoviam a plataforma falsa, mas deixavam os vídeos como “não listados” – um dos vídeos alcançou mais de 180 mil visualizações em poucos dias.

O app falso, voltado para usuários Android, entregava um malware chamado Brokewell. O malware consegue capturar credenciais por meio de telas de sobreposição, interceptar cookies de sessão e monitorar ações como toques na tela e no teclado. Em versões mais avançadas, o Brokewell pode funcionar como um Trojan de Acesso Remoto (RAT), permitindo que o invasor controle o dispositivo à distância.

Na nova campanha, não é o Brokewell que está sendo distribuído. Na verdade, é instalado um downloader personalizado que aplica Trojan.Agent.GOSL, também chamado JSCEAL ou WeevilProxy.

Como funciona o JSCEAL e o WeevilProxy

O JSCEAL é um malware que usa técnicas de JavaScript compilado para ofuscar o código e dificultar que antivírus detectem-no. Já o WeevilProxy, também um malware, é direcionado a usuários de criptomoedas e pode atuar com ferramentas de controle remoto, como backdoor, fazer o monitoramento de telas, keylogging e manipular extensões de navegador.

Site hospeda versão maliciosa do aplicativo

De acordo com a investigação da Bitdefender, a operação foi iniciada em 22 de julho e já conseguiu atingir dezenas de milhares de pessoas. O golpe funciona de forma simples: ao clicar no anúncio, a vítima é direcionada para uma página falsa, criada para reproduzir o site oficial, mas que oferece a instalação de um APK malicioso — o pacote de aplicativos usado em dispositivos Android.

Depois que o download é feito, o aplicativo passa a atuar em segundo plano, com capacidade de capturar senhas, interceptar mensagens e até ativar recursos de áudio e vídeo sem o consentimento do usuário. Essa técnica, conhecida como malvertising, explora anúncios como armadilha para espalhar vírus. Para cair no golpe, basta que o usuário clique na propaganda e faça o download do app.

O site fraudulento é praticamente idêntico ao original, alterando apenas detalhes no endereço (URL). Já o aplicativo exige permissões avançadas, como acesso às funções de acessibilidade, enquanto engana a vítima com falsos alertas de atualização e até solicita o código de desbloqueio da tela.

Para ficar de olho em golpes como esse, acompanhe o TecMundo nas redes sociais. Se inscreva em nosso canal do YouTube e em nossa newsletter para mais notícias de segurança e tecnologia.