Malware-Kampagne bei Facebook zielt auf Kryptoplattformen und Android

Bösartige Facebook-Werbung zielt auf Android-Nutzerinnen und -Nutzer ab, die auf Krypto-Plattformen aktiv sind. Die Drahtzieher versuchen, die Krypto-Werte potenzieller Opfer zu stehlen.

Davor warnt das Antivirenunternehmen Bitdefender aktuell. Allgemein scheint dem Unternehmen nach der Glaube zu herrschen, dass Smartphones weniger im Visier von Kriminellen stünden, ein fataler Irrglaube. Bitdefender warnt nun, dass Cyberkriminelle vermehrt Malware über Metas Werbesystem verteilen. Nachdem monatelang Windows-Desktop-Nutzer Hauptziel von gefälschter Werbung für Handels- und Krypto-Plattformen waren, nehmen die Angreifer jetzt zunehmend Android-Nutzer weltweit ins Visier.

Bösartige Werbekampagne auf Facebook

Eine vermeintliche kostenlose „TradingView Premium“-App für Android haben die Analysten in einer Welle von bösartigen Werbungen auf Facebook entdeckt. TradinView ist eine bekannte App, deren Logo und Aussehen die Angreifer missbrauchen. Anstatt legitimer Software liefert die Werbung jedoch einen Krypto-Werte-stehlenden Trojaner. Es handelt sich um eine weiterentwickelte Version der Brokewell-Malware.

Die Malware-Kampagne läuft demnach seit dem 22. Juli 2025 und umfasste mindestens 75 bösartige Werbungen. Alleine in der EU hat sie bis zum vorvergangenen Wochenende zehntausende Nutzer erreicht. Die Drahtzieher versprechen in der gefälschten Werbung, dass potenzielle Opfer das Premium-Abo kostenlos nutzen könnten.

Ein Klick auf die Werbung leitet Interessierte auf eine geklonte Webseite, die die Optik der offiziellen TradingView-Webseite nachbildet und die eine bösartige .apk-Datei „tw-update.apk“ herunterlädt. Nach der Installation fordert die App weitreichende Rechte an. Selbst die Sperrbildschirm-PIN versucht die Malware-App abzugreifen.

Es handelt sich jedoch um mehr als nur einen Info-Stealer, der Zugangsdaten abgreift. Die Malware ist eine vollumfängliche Spyware und zugleich Remote Access Trojan (RAT), erklärt Bitdefender. Sie beherrscht Kryptodiebstahl und sucht nach BTC, ETH, USDT, IBANs und mehr, kann 2FA-Codes aus Googles Authenticator stehlen, Konten übernehmen durch Einblenden gefälschter Log-in-Seiten, das Smartphone überwachen und etwa den Bildschirm aufnehmen, als Keylogger fungieren, SMS abfangen und von den Angreifern ferngesteuert werden. Bitdefender schätzt die Malware als eine der fortschrittlichsten Bedrohungen ein, die bislang in Malvertising-Kampagne gesichtet wurden.

Mehrsprachige Malware

Die Malware bringt neben englischer Sprache native Übersetzungen für Arabisch, Chinesisch, Indonesisch, Portugiesisch, Spanisch, Thailändisch, Türkisch und Vietnamesisch und weitere mit. Mehrere Samples beherrschten außerdem auch Bulgarisch, Französisch, Rumänisch und weitere Sprachen. Bislang haben die Analysten lediglich bösartige Werbungen entdeckt, die TradingView imitieren, erwarten hier aber eine Ausweitung in naher Zukunft. Die Analyse enthält noch einige Indizien für Infektionen (Indicators of Compromise, IOCs), nach denen Interessierte suchen können.

In der vergangenen Woche hat Zscalers ThreadLabz bösartige Apps im Google Play Store gemeldet, die mit der Anatsa-Malware infiziert waren und es ebenfalls auf Vermögenswerte abgesehen hat, indem sie die Online-Banking- und Kryptoverwaltungs-Apps auf dem Gerät analysierte und Phishing-Seiten in Form gefälschter Anmeldeseiten zwischenschaltet. Insgesamt kamen 77 bösartige Apps auf mehr als 19 Millionen Installationen.

Die kriminellen Banden sind stets kreativ bei der Suche nach neuen Betrugsmaschen. Im Juni etwa wurden Versuche bekannt, mit denen Cyberkriminelle Werbung auf Anleitungen für Standardbefehle geschaltet haben. Die Anleitungen lieferten statt der gewünschten Parameterlisten jedoch Befehle zurück, die zur Installation von Infostealer-Malware führen.

(dmk)