Bitdefender Labs ha lanciato un allarme che segna un cambio di passo nelle campagne di malvertising. Dopo mesi di attività mirate agli utenti Windows tramite annunci pubblicitari ingannevoli su Meta, i cybercriminali stanno ora concentrando gli attacchi sugli utenti Android di tutto il mondo. L’esca più diffusa è la promessa di una versione Premium gratuita di TradingView, che invece distribuisce un trojan avanzato capace di rubare criptovalute e informazioni sensibili.
Secondo l’analisi di Bitdefender, dal 22 luglio al 22 agosto 2025 sono stati diffusi almeno 75 annunci malevoli solo nell’Unione Europea, raggiungendo decine di migliaia di utenti. Gli annunci sfruttano loghi e grafiche autentiche di TradingView, spingendo gli utenti a scaricare un file .apk da siti falsificati, come new-tw-view[.]online e tradiwiw[.]online.
L’evoluzione di Brokewell
Il malware individuato non è un semplice infostealer, ma una versione evoluta di Brokewell, trasformato in uno spyware e RAT (Remote Access Trojan) con capacità molto avanzate. Tra le funzionalità documentate:
- Furto di criptovalute da wallet e IBAN.
- Bypass dell’autenticazione a due fattori (2FA) con esportazione dei codici da Google Authenticator.
- Account takeover tramite schermate di login false.
- Sorveglianza completa con registrazione dello schermo, keylogging, intercettazione dei cookie, accesso a fotocamera e microfono, localizzazione in tempo reale.
- Intercettazione SMS, inclusi codici bancari e OTP.
- Controllo remoto via Tor e WebSockets, con comandi che spaziano dall’invio di SMS alle chiamate, fino all’autodistruzione del malware stesso.
Il trojan adotta tecniche di offuscamento avanzate e carica dinamicamente codice malevolo tramite librerie native e file .dex criptati, il che lo rende particolarmente difficile da rilevare.
Una campagna globale e localizzata
La campagna non si limita a TradingView né a un solo Paese. Bitdefender ha documentato annunci localizzati in più lingue (inglese, spagnolo, portoghese, tedesco, francese, turco, italiano, arabo, cinese e altre), con brand falsificati che includono Binance, Bitget, Bybit, Revolut, Ledger, OKX, e persino figure pubbliche come Donald Trump.
In alcuni casi, i criminali hanno adattato i messaggi a mercati specifici: Lemon.me in America Latina, Exness in Thailandia, Blackbull in Asia-Pacifico. Questa localizzazione rende gli annunci più credibili e difficili da smascherare.
Perché Android è il nuovo bersaglio
Se fino a poco tempo fa le campagne di malvertising puntavano soprattutto ai sistemi desktop, oggi i dispositivi mobili rappresentano un obiettivo ad alto valore. Gli smartphone contengono wallet crypto, applicazioni bancarie, autenticatori 2FA e dati personali, rendendo una singola infezione potenzialmente devastante.
Bitdefender sottolinea che le varianti Android sono rilevate come Android.Trojan.Dropper.AVV (dropper) e Android.Trojan.Banker.AVM (malware principale), mentre le versioni desktop restano attive e in crescita.
Come difendersi
Per proteggersi da campagne di questo tipo, gli esperti raccomandano di:
- Evitare il sideloading di app e scaricare software solo da store ufficiali.
- Verificare attentamente gli URL prima di scaricare qualsiasi applicazione.
- Controllare i permessi richiesti: accessibilità, PIN di sblocco o privilegi eccessivi sono segnali sospetti.
- Diffidare degli annunci pubblicitari che promettono premi o abbonamenti gratuiti, anche su piattaforme affidabili come Facebook.
- Adottare soluzioni di sicurezza mobile: Bitdefender Mobile Security, ad esempio, intercetta queste minacce prima che compromettano i dispositivi.
