Los investigadores de ciberseguridad han descubierto una sofisticada campaña malvertida en la plataforma de Facebook de Meta en las últimas semanas que se dirige a los usuarios de Android con promesas de una aplicación premium comercial gratuita.
Estos anuncios engañosos imitan las marcas y las imágenes oficiales comerciales, atrayendo a las víctimas desprevenidas a descargar lo que parece ser un APK legítimo.
Sin embargo, una vez instalada, la aplicación libera un troyano de robo criptográfico altamente avanzado que aprovecha los abusos de accesibilidad y las técnicas de superposición para cosechar credenciales, omitir la autenticación de dos factores y aprovechar el control de la funcionalidad del dispositivo.
Esta campaña marca una evolución significativa en la malvertición de móvil, que demuestra cómo los actores de amenaza adaptan estrategias tradicionales orientadas al escritorio a ecosistemas de Android cada vez más lucrativos.
Después del descubrimiento inicial del 22 de julio de 2025, la ola de anuncios maliciosos ganó rápidamente tracción en Europa y más allá.
Los anuncios redirigen a los usuarios a una página web clonada en New-Tw-View (.) En línea, donde descargan un APK de Tradiwiw (.) Online/tw-update.apk.
Tras la instalación, el gotero solicita inmediatamente permisos poderosos, disfrazados de la actualización legítima indica que coaxan a los usuarios para habilitar los servicios de accesibilidad y otorgar los derechos de administración de dispositivos.
Los analistas de Bitdefender señalaron que, en muchos casos, el gotero se limpia después de desinstalar su trozo inicial, dejando solo la carga útil en su lugar para evitar la detección.
El 22 de agosto, bitdefender investigadores identificado Que al menos 75 anuncios únicos se habían desplegado desde finales de julio, llegando a decenas de miles de usuarios solo en la UE.
Los atacantes localizaron sus señuelos en más de una docena de idiomas, incluidos los vietnamitas, portugueses, españoles, turcos y árabes, para maximizar el alcance y la credibilidad.
Anuncios maliciosos (Fuente – Bitdefender)
Los usuarios móviles de orientación reflejan una tendencia más amplia: a medida que los teléfonos inteligentes se vuelven centrales para las operaciones financieras (billeteras de cristto, banca móvil y aplicaciones de autenticación), las apuestas para un compromiso exitoso aumentan dramáticamente.
Descripción técnica del mecanismo de infección
La profundización de la cadena de infección revela un proceso de varias etapas diseñado para el sigilo y la persistencia. Tras la ejecución, el Dropper APK calcula la suma de verificación MD5 788CB1965585F5D7B11A0CA35D3346CC y desempaca una carga útil integrada con la suma de verificación 58D6FF96C4CA734CD7DFACC235E105BD.
La carga útil se almacena como un recurso DEX cifrado dentro de la aplicación. Una biblioteca nativa recupera dinámicamente las claves de descifrado y carga las clases ocultas a través de la reflexión, evitando las verificaciones de firma estándar.
// String de carga de carga basada en reflexión dexpath = context.getFilesDir () + “/payload.dex”; FileOutputStream fos = new FileOutputStream (dexpath); fos.write (DecryptedBytes); fos.close (); Dexclassloader loader = new DexClassLoader (dexpath, context.getCachedir (). GetAbSolutePath (), null, context.getClassLoader ()); Class> clazz = loader.loadClass (“com.tradingview.updater.updater”); Método init = clazz.getMethod (“inicializar”, context.class); init.invoke (nulo, contexto); Pantalla de actualización de superposición de permiso de accesibilidad (Fuente – BitDefender)
Una vez activo, el malware se registra como un servicio de accesibilidad, otorgándole la capacidad de monitorear las pulsaciones de teclas, interceptar tokens 2FA de Google Authenticator y mostrar pantallas de inicio de sesión falsas sobre aplicaciones bancarias y criptográficas.
El fragmento de código anterior ejemplifica cómo se carga dinámicamente la clase de actualizadores maliciosos, asegurando que las herramientas de análisis estático puedan perder su presencia.
La persistencia se logra al rehabilitar los servicios de accesibilidad en el reinicio y ocultar su icono de los cajones de aplicaciones a través de PackageManager.setComponeNableSettingsetting, evitando los intentos del usuario de localizar y eliminar la amenaza.
Este ataque demuestra un alto grado de automatización combinado con precisión de grado manual en los activos de alto valor en dispositivos Android.
Al armar la infraestructura publicitaria de Facebook y aprovechar el conocimiento profundo del modelo de permiso de Android, los actores de amenaza han creado una campaña potente capaz de alcance global y un impacto financiero significativo.
Las organizaciones y las personas por igual deben permanecer atentos, analizar las fuentes de aplicaciones, verificar las URL y limitar la respuesta lateral a repositorios de confianza.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
