A kiberbűnözők az asztali gépekről egyre inkább a mobilokra helyezik át a hangsúlyt, és a Meta hirdetési platformját kihasználva terjesztenek egy kifinomult banki trójai programot, amely a TradingView Premium ingyenes verziójának álcázza magát. A Bitdefender Labs legfrissebb jelentése szerint a kiberbűnözők új taktikára váltottak: míg korábban Windows-felhasználókra céloztak hamis kriptovaluta és tőzsdei hirdetésekkel, most világszerte az okostelefon-tulajdonosokat vették célba.
Több tízezer áldozat egy hónap alatt
2025. július 22-e óta legalább 75 különböző Facebook-hirdetést azonosítottak, amelyek egy ingyenes Androidos TradingView Premium alkalmazást népszerűsítettek. A hirdetések hivatalosnak tűnő arculati elemeket, sőt, egyes esetekben a népszerű Labubu kabalát is tartalmazták, hogy növeljék a hitelességet és a kattintási arányt.
Bár az asztali gépről érkező felhasználókat ártalmatlan oldalakra irányítják át, a mobilról kattintók egy hamisított weboldalra kerülnek (pl. new-tw-view[.]online), ahonnan egy fertőzött .apk fájlt töltenek le (tradiwiw[.]online/tw-update.apk).
Trójai működése és képességei
Az alkalmazás telepítés után egy kártékony modult (droppert) bont ki, amely azonnal kiterjedt jogosultságokat kér, köztük teljes hozzáférést az akadálymentesítési szolgáltatásokhoz. A hamis „frissítés” ablakok mögé rejtett engedélykérések és alkalmazásátfedések (például a YouTube alkalmazáson keresztül) révén a felhasználó tudta nélkül engedélyezi a trójai működését.
Ezután a dropper eltávolítja önmagát, így eltűnik a támadás nyoma.
A behatoló program egy fejlett Brokewell kémprogram és távoli hozzáférést biztosító trójai (RAT) új változata. A következő képességekkel rendelkezik:
- Kriptovaluta-lopás: Bitcoin, Ethereum, USDT, IBAN-számok és egyéb érzékeny adatok felderítése
- 2FA megkerülés: Google Authenticator kódok kinyerése
- Fiókátvétel: hamis bejelentkezési képernyők megjelenítése
- Kémkedés: képernyőrögzítés, billentyűnaplózás, süti-lopás, kamera és mikrofon aktiválása, élő helymeghatározás
- SMS elfogás: alapértelmezett SMS alkalmazás helyettesítése, így banki és hitelesítő kódok megszerzése
- Távoli irányítás: TOR-on és WebSocketen keresztül utasítások fogadása, pl. SMS küldés, hívások indítása, alkalmazások törlése vagy önmegsemmisítés
Az alkalmazás erősen obfuszkált, két natív könyvtár segítségével futásidőben tölti be a rejtett .dex fájlokat. A támadás konfigurációja JSON formátumban definiálja, mely népszerű alkalmazásokra alkalmazzon átfedést (overlay).
Nemzetközi kampány, lokalizált hirdetésekkel
Ez az Androidos támadási hullám egy szélesebb malvertising (rosszindulatú hirdetés) kampány része, amely korábban Windows-felhasználókat célzott különféle márkák nevében (pl. Binance, Bitget, eToro, Ledger, Revolut) sőt, még jól ismert emberek (pl. Donald Trump) nevével is visszaéltek.
A hirdetések lokalizáltak, több nyelven – köztük vietnámi, portugál, spanyol, török, thai, arab, kínai – jelennek meg, igazodva a régiókban népszerű platformokhoz, például:
- Lemon.me Latin-Amerikában
- Exness Thaiföldön
- Blackbull az ázsiai csendes-óceáni térségben
Védekezési lehetőségek
A Bitdefender Mobile Security már felismeri a támadás különböző komponenseit:
- Dropper: Android.Trojan.Dropper.AVV
- Fő kártékony program: Android.Trojan.Banker.AVM
- Windows-os változatok: Generic.MSIL.WMITask (dropper) és Generic.JS.WMITask (szkriptek)
Javasolt biztonsági lépések:
- Csak hivatalos alkalmazásboltból (Google Play) telepítsünk appokat!
- A gyanús hirdetéseket és domainneveket ellenőrizzünk alaposan!
- Fordítsunk különös figyelmet az alkalmazások által kért engedélyekre, különösen az akadálymentesítésre és képernyőzár PIN-re!
- Használjunk megbízható mobilbiztonsági megoldásokat, például Bitdefender vagy más prémium védelmi szoftvert!
- Bitdefender Scamio vagy Link Checker segítségével ellenőrizzük a kétes linkeket!
Összegzés
Ahogy a mobilbankolás és a kriptovaluták használata egyre inkább elterjed, a támadók is egyre inkább a mobil platformokra fókuszálnak. Ez a kampány világosan jelzi: az okostelefonok már nem másodlagos célpontok, hanem elsődleges eszközök a kifinomult kiberbűnözők számára. A hamis hirdetésekkel szembeni tudatosság és a technológiai védekezés egyaránt kulcsfontosságú a jövőben.
