近几周,网络安全研究人员在 Meta(元宇宙)旗下的 Facebook 平台上发现了一场复杂的恶意广告活动。该活动以 “免费提供 TradingView 高级应用(TradingView Premium)” 为诱饵,专门针对 Android 用户发起攻击。
这些欺诈性广告模仿 TradingView 官方的品牌标识与视觉设计,诱导毫无防备的受害者下载看似合法的 APK 安装包。
然而,一旦完成安装,这款应用就会释放出一款高度复杂的 “偷币木马”(crypto-stealing trojan)。该木马通过滥用辅助功能权限(Accessibility Services)和叠加层(overlay)技术,窃取用户凭据、绕过多因素认证(2FA),并掌控设备功能。
这场活动标志着以移动设备为目标的恶意广告(malvertising)已出现重大升级,体现出攻击者正将传统面向桌面设备的攻击策略,适配到利润日益丰厚的 Android 生态系统中。
2025 年 7 月 22 日该活动首次被发现后,这批恶意广告迅速在欧洲及其他地区蔓延。
用户点击广告后,会被重定向至一个克隆网站 “new-tw-view [.] online”,并从 “tradiwiw [.] online/tw-update.apk” 地址下载 APK 文件。
安装完成后,这个 “投放器”(dropper,指用于释放恶意 payload 的初始程序)会立即请求获取高权限,它伪装成 “合法更新提示”,诱骗用户启用 “辅助功能服务” 并授予 “设备管理员权限”。
比特梵德(Bitdefender)的研究人员指出,在多数情况下,该投放器会 “自我清理”—— 卸载其初始程序文件,只留下核心恶意 payload(有效载荷),以此规避检测。
8 月 22 日,比特梵德研究人员确认,自 7 月底以来,攻击者已投放至少 75 个独特的恶意广告,仅在欧盟地区就触达了数万名用户。
为扩大传播范围、提升可信度,攻击者将诱饵内容本地化,翻译成了十多种语言,包括越南语、葡萄牙语、西班牙语、土耳其语和阿拉伯语。
恶意广告(来源:比特梵德)
攻击者将目标锁定移动用户,这反映出一个更广泛的趋势:随着智能手机成为金融操作(加密货币钱包、移动银行、认证应用)的核心工具,成功入侵设备所能带来的收益也大幅提升。
感染机制技术解析
深入分析攻击链可见,这是一个为实现 “隐蔽性” 与 “持久化” 设计的多阶段流程。投放器 APK 执行后,会先计算 MD5 校验和
788cb1965585f5d7b11a0ca35d3346cc,随后解压出一个内嵌的恶意 payload,其校验和为58d6ff96c4ca734cd7dfacc235e105bd。该 payload 以加密的 DEX 资源(DEX 是 Android 系统的可执行文件格式)形式存储在应用内部。一个原生库(native library)会动态获取解密密钥,并通过 “反射”(reflection)技术加载隐藏的类,以此绕过标准的签名校验机制。
java
// 基于反射的payload加载代码String dexPath = context.getFilesDir() + "/payload.dex";
FileOutputStream fos = new FileOutputStream(dexPath);
fos.write(decryptedBytes);
fos.close();
DexClassLoader loader = new DexClassLoader(dexPath, context.getCacheDir().getAbsolutePath(), null, context.getClassLoader());
Class<?> clazz = loader.loadClass("com.tradingview.updater.Updater");
Method init = clazz.getMethod("initialize", Context.class);
init.invoke(null, context);覆盖在更新界面上的辅助功能权限请求弹窗(来源:比特梵德)
恶意软件激活后,会注册为 “辅助功能服务”,这使其获得监控用户按键输入、拦截来自谷歌验证器(Google Authenticator)的 2FA 令牌,以及在银行和加密货币应用界面上显示伪造登录页面的能力。
上述代码片段展示了恶意 “更新器类”(Updater)的动态加载方式 —— 这种设计能让静态分析工具无法检测到它的存在。
为实现 “持久化驻留”,恶意软件会在设备重启后重新启用辅助功能服务,并通过调用
PackageManager.setComponentEnabledSetting方法将自身图标从应用抽屉(app drawer)中隐藏,阻止用户发现并删除该威胁。此次攻击体现出高度的自动化操作,同时结合了 “精准定位 Android 设备高价值资产” 的人工级精度。
攻击者通过将 Facebook 广告基础设施武器化,并深度利用 Android 权限模型的特性,打造出这场覆盖全球、可能造成重大经济损失的恶意活动。
企业与个人均需保持警惕:仔细核查应用来源、验证网址真实性,并仅从可信应用商店下载应用,限制 “侧载”(sideload,指安装非官方渠道应用)行为。
关键术语补充说明
- Malvertising(恶意广告):指将恶意代码嵌入合法广告平台或广告内容中,通过用户点击广告触发恶意行为(如下载恶意软件、跳转钓鱼网站)的攻击方式。
- APK:Android 应用程序安装包格式,是 Android 系统中应用的分发与安装文件,第三方来源的 APK 可能存在安全风险。
- Crypto-stealing Trojan(偷币木马):专门针对加密货币的恶意软件,通过窃取钱包私钥、拦截交易请求、伪造转账界面等方式盗取用户的加密资产。
- Accessibility Services(辅助功能服务):Android 系统为帮助残障用户使用设备而设计的功能,可获取设备界面信息、模拟用户操作;攻击者常滥用该权限实现恶意操作自动化。
- Overlay(叠加层)技术:指在合法应用界面上覆盖伪造的弹窗或页面(如登录框、验证码输入框),诱导用户输入敏感信息的攻击手段。
- DexClassLoader:Android 系统中的类加载器,用于加载外部 DEX 文件中的类,攻击者常利用其动态加载隐藏的恶意代码,规避静态检测。
红客联盟·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
