AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Meta, bajo ataque: campañas de malware Brokewell en anuncios falsos de TradingView Premium

admin

Introducción

En las últimas semanas, investigadores de ciberseguridad han detectado una sofisticada campaña de distribución de malware dirigida a usuarios de Android, que explota los sistemas publicitarios de Meta (Facebook e Instagram) con anuncios fraudulentos. Estos anuncios prometen acceso gratuito a la versión Premium de TradingView, una popular plataforma de análisis financiero, pero en realidad distribuyen el troyano Brokewell, especializado en robo de credenciales y datos bancarios. El incidente plantea serias cuestiones sobre la seguridad de las plataformas publicitarias, la sofisticación de los actores de amenazas actuales y la protección de los usuarios frente a nuevas variantes de malware.

Contexto del Incidente

La campaña maliciosa, identificada por varios equipos de Threat Intelligence a finales de mayo de 2024, evidencia una tendencia creciente: el aprovechamiento de la confianza depositada en plataformas legítimas para distribuir software malicioso. Los cibercriminales utilizan anuncios patrocinados en Meta para promocionar enlaces que simulan ser descargas legítimas del TradingView Premium para Android. Sin embargo, la aplicación ofrecida está troyanizada con Brokewell, un malware bancario con capacidades de acceso remoto (RAT), keylogging y exfiltración de datos sensibles.

Esta táctica demuestra una doble sofisticación: por un lado, el uso de campañas publicitarias dirigidas (con microsegmentación geográfica y demográfica) y, por otro, la manipulación de marcas reconocidas para maximizar el índice de infección. El resultado es una amenaza avanzada que pone en jaque tanto a los equipos de seguridad corporativa como al usuario final.

Detalles Técnicos

El vector de ataque principal es la red de anuncios de Meta, donde los actores de amenazas crean páginas y campañas que simulan la identidad visual de TradingView. Los enlaces redirigen a sitios web clonados, desde donde se descarga un APK malicioso.

Brokewell, detectado por primera vez en 2023, ha evolucionado para evadir sistemas de detección y utiliza técnicas de empaquetado y ofuscación dinámicas. El binario malicioso solicita permisos intrusivos (acceso a SMS, notificaciones, superposición de pantalla, administración de dispositivos) y emplea técnicas de abuso de Android Accessibility Service, alineándose con la táctica T1546.008 de MITRE ATT&CK (Abuse of Accessibility Features).

Los Indicadores de Compromiso (IoC) más relevantes identificados incluyen:
– Dominios de descarga con nombres como tradingview-premium[.]pro y variantes.
– Hashes SHA256 de muestras de Brokewell recientes.
– Certificados firmados con nombres de desarrolladores falsificados.
– Direcciones IP asociadas a servidores C2 ubicados en Europa del Este.

Se ha registrado el uso de frameworks como Metasploit para pruebas de despliegue y de Cobalt Strike para la gestión de los servidores de mando y control (C2).

Impacto y Riesgos

El impacto de esta campaña es significativo en varios niveles:
– Robo de credenciales bancarias y de acceso a plataformas de trading.
– Acceso remoto a dispositivos infectados, permitiendo la manipulación de cuentas y fraudes financieros.
– Riesgo de escalada de privilegios y persistencia en sistemas empresariales BYOD.
– Potencial para la distribución secundaria de payloads, como ransomware móvil o spyware.

Según estimaciones preliminares, al menos 10.000 usuarios de Android han sido afectados en Europa y Latinoamérica durante la primera semana de la campaña, con un índice de infección que supera el 15% de los clics en los anuncios maliciosos. Las pérdidas económicas asociadas, considerando el robo y fraude bancario, podrían superar los 2 millones de euros en los primeros días.

Medidas de Mitigación y Recomendaciones

Para los equipos de seguridad y administradores de sistemas, se recomienda:
– Bloqueo de los dominios e IPs identificados como IoC.
– Monitorización de logs de acceso y comportamiento anómalo en dispositivos móviles corporativos.
– Refuerzo de políticas de MDM (Mobile Device Management) para restringir la instalación de APKs fuera de Google Play.
– Formación continua de usuarios sobre riesgos de aplicaciones no verificadas.
– Revisión y actualización de las firmas de seguridad en soluciones EDR y antivirus.
– Auditoría de permisos concedidos a aplicaciones instaladas.

A nivel de cumplimiento normativo, las empresas que sufran filtración de datos personales deben notificar la brecha según lo establecido en el GDPR y la directiva NIS2, especialmente si se trata de datos bancarios o información sensible de empleados.

Opinión de Expertos

Analistas de ciberamenazas del sector coinciden en que el abuso de plataformas publicitarias de gran alcance como Meta representa una evolución preocupante de la cadena de infección. «La combinación de ingeniería social avanzada y el uso de canales legítimos dificulta la detección temprana y la respuesta automatizada», señala un CISO de una entidad financiera europea. Otros expertos subrayan la necesidad de reforzar la colaboración entre proveedores de publicidad digital y la comunidad de ciberseguridad para identificar y bloquear campañas maliciosas en tiempo real.

Implicaciones para Empresas y Usuarios

Para las organizaciones, este tipo de campañas introduce un vector de riesgo adicional en entornos BYOD y de trabajo remoto. La falta de control sobre los dispositivos personales y la sofisticación del malware elevan la superficie de ataque, comprometiendo tanto datos personales como corporativos.

Para los usuarios, el incidente subraya la importancia de no instalar aplicaciones fuera de las tiendas oficiales y de desconfiar de ofertas «gratuitas» promovidas en anuncios, incluso si parecen provenir de fuentes legítimas.

Conclusiones

La campaña de distribución de Brokewell a través de anuncios falsos en Meta ejemplifica la creatividad y persistencia de los actores de amenazas actuales. El abuso de plataformas publicitarias de alto tráfico y la manipulación de la identidad de marcas reconocidas requieren de una respuesta integral que combine tecnología, formación y colaboración entre sectores. Las empresas deben reforzar sus controles de seguridad móvil y los usuarios han de extremar la precaución ante ofertas sospechosas, aunque provengan de canales en apariencia confiables.

(Fuente: www.bleepingcomputer.com)