网络犯罪分子正在滥用 Meta 的广告平台，以“免费获取 TradingView Premium 应用”为诱饵，向 Android 用户投放恶意广告，传播 Brokewell 恶意软件。

这一攻击行动自 7 月 22 日起活跃，涉及约 75 个本地化广告，主要瞄准加密货币资产用户。

Brokewell 恶意软件最早在 2024 年初被发现，具备广泛的功能，包括窃取敏感信息、远程监控以及完全控制受感染设备。

假冒 TradingView 推广

Bitdefender 的研究人员对这波广告进行了调查。攻击者利用 TradingView 的品牌和视觉元素，向用户承诺“免费 Premium 应用”。
研究显示，该攻击专门针对移动端用户设计——如果在非 Android 系统上点击广告，则只会显示无害内容；但在 Android 上访问时，会被重定向至一个仿冒的 TradingView 网站，诱导下载恶意的 tw- update.apk，该文件托管在 tradiwiw[.]online/ 域名下。

研究人员指出，安装后的恶意应用会立即索取辅助功能权限，并在获得权限后用一个假的“更新提示”遮盖屏幕，同时在后台悄悄授予自己所有所需权限。

更具隐蔽性的是，该应用还会通过模拟 Android 系统更新请求，引诱受害者输入锁屏密码，以窃取设备 PIN 码。

高级版本的 Brokewell 恶意软件

据 Bitdefender 报告，这款假冒 TradingView 应用实际上是 Brokewell 恶意软件的高级版本，内置了庞大的攻击工具集，能够全面监控、控制并窃取用户的敏感信息：

重点能力包括：

1.扫描并窃取 BTC、ETH、USDT 等加密资产及银行账户信息（IBAN）；

2.窃取并导出 Google Authenticator 动态验证码，绕过双重认证；

3.通过伪造登录界面窃取各类账户凭证；

4.记录屏幕和按键输入、窃取浏览器 Cookie、启用摄像头和麦克风、追踪地理位置；

5.劫持默认 短信应用，拦截银行验证码及 2FA 验证短信；

6.通过 Tor 或 WebSocket 接收远程指令，可执行发送短信、拨打电话、卸载应用甚至自毁等操作。

研究人员指出，该恶意程序的完整命令集超过 130 条，展现出极高的攻击复杂度。

Bitdefender 还强调，这并非孤立行动。早期阶段，攻击者曾利用 Facebook 广告冒充数十个知名品牌，针对 Windows 用户 发动攻击。而此次 Android 平台的投毒，则是这一更大规模行动的延伸。