Underc0de - La Casa de los Informáticos

Los ciberdelincuentes han lanzado una sofisticada campaña publicitaria en plataformas de Meta (Facebook e Instagram) para engañar a los usuarios con supuestas ofertas de una aplicación gratuita de TradingView Premium, que en realidad propaga el peligroso malware Brokewell en dispositivos Android.

La campaña, que ha estado activa desde al menos el 22 de julio de 2025, tiene como objetivo principal a los usuarios interesados en criptomonedas. De acuerdo con la investigación de Bitdefender, se identificaron alrededor de 75 anuncios localizados que utilizan de forma fraudulenta la marca TradingView para atraer a sus víctimas.

¿Qué es Brokewell y por qué es tan peligroso?

El malware Brokewell apareció a principios de 2024 y rápidamente se convirtió en una amenaza crítica para dispositivos móviles debido a su amplio arsenal de capacidades de espionaje, robo de información y control remoto.

Entre sus funcionalidades más destacadas se encuentran:

• Robo de credenciales bancarias, datos de BTC, ETH, USDT y números de cuentas (IBAN).
• Interceptación de códigos de Google Authenticator, lo que le permite evadir sistemas de autenticación de dos factores (2FA).
• Superposición de pantallas falsas para robar accesos a aplicaciones de banca, criptomonedas y redes sociales.
• Grabación de pantalla, captura de pulsaciones de teclado, robo de cookies, acceso a cámara, micrófono y geolocalización.
• Secuestro de la aplicación de SMS para interceptar mensajes y códigos de verificación bancarios.
• Control remoto completo del dispositivo, con la capacidad de enviar mensajes, realizar llamadas, instalar o desinstalar apps e incluso ejecutar su autodestrucción para borrar evidencias.

Bitdefender documentó más de 130 comandos distintos que Brokewell es capaz de ejecutar, lo que lo convierte en uno de los troyanos más completos y versátiles de la actualidad.

Cómo operan los anuncios falsos de TradingView en Meta

La campaña detectada utiliza anuncios de Meta Ads que aparentan ser legítimos, presentando logos, imágenes y mensajes idénticos a los de TradingView, una de las plataformas más utilizadas por traders e inversores.

Los investigadores señalan que el ataque está específicamente diseñado para usuarios móviles Android. Si un usuario accede desde un dispositivo con otro sistema operativo, como Windows o iOS, es redirigido a un contenido inofensivo.

En cambio, desde Android, el anuncio conduce a una página web clonada del sitio oficial de TradingView, desde donde se ofrece un archivo malicioso llamado tw-update.apk, alojado en dominios fraudulentos como tradiwiw[.]online.

El truco del falso mensaje de actualización

Una vez instalada, la supuesta app de TradingView solicita permisos de accesibilidad. Tras concederlos, la pantalla se cubre con un mensaje de "actualización falsa", mientras en segundo plano la aplicación se otorga a sí misma todos los permisos necesarios para tomar el control del dispositivo.

Incluso intenta engañar al usuario para que introduzca su PIN o contraseña de desbloqueo, simulando una actualización del sistema Android. De esta forma, los atacantes logran acceso directo al dispositivo y a las aplicaciones críticas instaladas.

Brokewell, un paso más allá en el robo de criptomonedas

La motivación principal detrás de esta campaña es el robo de activos digitales. Brokewell está diseñado para detectar y robar claves privadas, billeteras de Bitcoin, Ethereum y Tether, además de interceptar transacciones en tiempo real.

Su capacidad para interceptar 2FA y manipular aplicaciones de autenticación representa un riesgo grave para quienes gestionan inversiones en criptomonedas desde sus teléfonos.

Además, el malware aprovecha redes de anonimato como Tor y WebSockets para comunicarse con sus operadores, dificultando la detección por parte de las soluciones de ciberseguridad tradicionales.

Relación con campañas anteriores

Bitdefender advierte que esta operación forma parte de un esquema más amplio. En campañas previas, los atacantes ya habían utilizado anuncios de Facebook que suplantaban la identidad de docenas de marcas reconocidas con el fin de distribuir malware dirigido a usuarios de Windows.

El salto a dispositivos Android muestra la evolución de la amenaza, ya que los cibercriminales buscan atacar el ecosistema donde las víctimas realizan transacciones financieras y de criptomonedas en movilidad.

Cómo protegerse de Brokewell y campañas similares

Para reducir el riesgo de caer en este tipo de ataques, los expertos recomiendan:

• Descargar aplicaciones solo desde Google Play o sitios oficiales. Nunca instalar APKs desde enlaces externos.
• Verificar la autenticidad de los anuncios y desconfiar de ofertas demasiado atractivas, como versiones "gratuitas" de apps premium.
• Mantener actualizado Android y activar Google Play Protect.
• Usar soluciones de seguridad móvil que detecten comportamientos sospechosos.
• Habilitar medidas adicionales de seguridad en exchanges y billeteras de criptomonedas, como hardware wallets.

En fin, la campaña maliciosa que utiliza anuncios falsos de TradingView Premium en Meta para propagar el malware Brokewell en Android confirma una tendencia alarmante: los ciberdelincuentes están combinando ingeniería social, publicidad digital y malware avanzado para robar información sensible y criptomonedas.

Con su capacidad para espiar, robar datos financieros y tomar el control total de un dispositivo, Brokewell representa una de las amenazas más graves para los usuarios móviles en 2025.

La mejor defensa frente a este tipo de ataques sigue siendo la prevención, la conciencia del usuario y el uso de medidas de seguridad proactivas.

Fuente: https://www.bleepingcomputer.com/