עשרות מודעות בפייסבוק ובאינסטגרם שימשו להפצת נוזקה במכשירי אנדרואיד
קמפיין זדוני ניצל את מערכת הפרסום של Meta והפיץ את נוזקת Brokewell, שמאפשרת לתוקפים גישה מלאה למידע ולשליטה במכשירי אנדרואיד
תמונה: Dreamstime
פלטפורמות הפרסום של Meta, בהן פייסבוק ואינסטגרם, הפכו בחודשים האחרונים לכלי הפצה מועדף על קבוצות תקיפה, שמנצלות את אמינות המודעות הממומנות כדי לחדור למכשירי משתמשים. קמפיין חדש שנחשף לאחרונה עושה שימוש בשם המותג TradingView כדי להפיץ נוזקה מתקדמת למכשירי אנדרואיד תוך התחזות לאפליקציית פרימיום של השירות.
לפי חוקרי חברת Bitdefender, הקמפיין פועל מאז 22 ביולי ואולי אף קודם, ומופץ דרך כ-75 מודעות שונות המותאמות במיוחד למשתמשי מובייל ומפנות את הגולש לאתר מזויף שמתחזה לאתר הרשמי של TradingView, פלטפורמה מקוונת לניתוח שווקים פיננסיים (מניות, קריפטו, מט"ח ועוד). הגרסה שנשלחת למשתמשי אנדרואיד מפנה לקובץ זדוני בשם tw-update.apk – אפליקציה שנושאת בפועל את נוזקת Brokewell, נוזקה שמאפשרת לתוקפים לשלוט מרחוק במכשיר ולגנוב מידע רגיש.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
הנוזקה דורשת הרשאות נגישות, מציגה מסך עדכונים מזויף של האפליקציה ובזמן שהמשתמש חושב שהיא מתעדכנת היא מעניקה לעצמה את כל ההרשאות הדרושות עבורה. בנוסף, היא מנסה לגנוב גם את קוד הנעילה של המסך על ידי הדמיה של בקשת מערכת.
הגרסה הנוכחית של Brokewell נחשבת למתקדמת במיוחד ולפי הדוח של Bitdefender, האפליקציה כוללת סט רחב של יכולות:
- גניבת ארנקי קריפטו (BTC, ETH, USDT) ופרטי חשבון בנק
- יירוט קודי אימות דו שלבי מאפליקציות כמו Google Authenticator
- הצגת מסכי התחברות מזויפים לגניבת פרטי חשבון
- הקלטת מסך, מקלדת, צילום מהמצלמה, האזנה והקלטה של המיקרופון ומעקב אחר מיקום
- השתלטות על אפליקציית ה-SMS כדי ליירט הודעות, כולל קודי 2FA
- שליטה מלאה מרחוק: שליחת הודעות, ביצוע שיחות, הסרת אפליקציות, השמדה עצמית
השליטה נעשית באמצעות חיבור לרשת Tor או WebSocket, והנוזקה כוללת מעל 130 פקודות נתמכות שמאפשרות הפעלה גמישה לפי הצורך.
חלק ממבצע רחב יותר
ב-Bitdefender ציינו כי הקמפיין הנוכחי הוא חלק ממבצע רחב יותר שנחשף מוקדם יותר השנה, שבו נוצלו מודעות פייסבוק שמתחזות לעשרות מותגים, בתחילה למתקפות על משתמשי Windows, ועתה גם על מכשירי אנדרואיד.
החוקרים מדגישים כי בניגוד למתקפות קלאסיות שמופצות דרך אתרי פישינג או הודעות ספאם, כאן מדובר במודעות ממומנות בפלטפורמה מרכזית, שמוצגות כמודעות רגילות לכל דבר מה שמקשה על המשתמש לזהות את הסיכון.
