Malware migra da Meta para o YouTube para enganar novos usuários

Uma campanha de anúncios maliciosos, que usava uma versão “premium grátis” do app Tradingview para espalhar malware, que estava circulando nos aplicativos da Meta, agora migrou para o YouTube e Google Ads. Pesquisadores da Bitdefender, que identificaram a primeira campanha, encontraram uma conta no YouTube que estava se passando pela conta oficial do TradingView.

No perfil falso, os criminosos estavam publicando vídeos que promoviam a plataforma falsa, mas deixavam os vídeos como “não listados” – um dos vídeos alcançou mais de 180 mil visualizações em poucos dias.

O app falso, voltado para usuários Android, entregava um malware chamado Brokewell. O malware consegue capturar credenciais por meio de telas de sobreposição, interceptar cookies de sessão e monitorar ações como toques na tela e no teclado. Em versões mais avançadas, o Brokewell pode funcionar como um Trojan de Acesso Remoto (RAT), permitindo que o invasor controle o dispositivo à distância. 

Na nova campanha, não é o Brokewell que está sendo distribuído. Na verdade, é instalado um downloader personalizado que aplica Trojan.Agent.GOSL, também chamado JSCEAL ou WeevilProxy.

Como funciona o JSCEAL e o WeevilProxy

O JSCEAL é um malware que usa técnicas de JavaScript compilado para ofuscar o código e dificultar que antivírus detectem-no. Já o WeevilProxy, também um malware, é direcionado a usuários de criptomoedas e pode atuar com ferramentas de controle remoto, como backdoor, fazer o monitoramento de telas, keylogging e manipular extensões de navegador.

Site hospeda versão maliciosa do aplicativo

De acordo com a investigação da Bitdefender, a operação foi iniciada em 22 de julho e já conseguiu atingir dezenas de milhares de pessoas. O golpe funciona de forma simples: ao clicar no anúncio, a vítima é direcionada para uma página falsa, criada para reproduzir o site oficial, mas que oferece a instalação de um APK malicioso — o pacote de aplicativos usado em dispositivos Android.

Depois que o download é feito, o aplicativo passa a atuar em segundo plano, com capacidade de capturar senhas, interceptar mensagens e até ativar recursos de áudio e vídeo sem o consentimento do usuário. Essa técnica, conhecida como malvertising, explora anúncios como armadilha para espalhar vírus. Para cair no golpe, basta que o usuário clique na propaganda e faça o download do app.

O site fraudulento é praticamente idêntico ao original, alterando apenas detalhes no endereço (URL). Já o aplicativo exige permissões avançadas, como acesso às funções de acessibilidade, enquanto engana a vítima com falsos alertas de atualização e até solicita o código de desbloqueio da tela.

Para ficar de olho em golpes como esse, acompanhe o TecMundo nas redes sociais. Se inscreva em nosso canal do YouTube e em nossa newsletter para mais notícias de segurança e tecnologia.