Malware migra da Meta para o YouTube para enganar novos usuários

Criminosos que usavam app do TradingView falso para instalar malware em usuários de Android

Cecilia Ferraz

schedule26/09/2025, às 19:45

updateAtualizado em 26/09/2025, às 22:43

Uma campanha de anúncios maliciosos, que usava uma versão “premium grátis” do app Tradingview para espalhar malware, que estava circulando nos aplicativos da Meta, agora migrou para o YouTube e Google Ads. Pesquisadores da Bitdefender, que identificaram a primeira campanha, encontraram uma conta no YouTube que estava se passando pela conta oficial do TradingView.

No perfil falso, os criminosos estavam publicando vídeos que promoviam a plataforma falsa, mas deixavam os vídeos como “não listados” – um dos vídeos alcançou mais de 180 mil visualizações em poucos dias.

smart_display

Nossos vídeos em destaque

O app falso, voltado para usuários Android, entregava um malware chamado Brokewell. O malware consegue capturar credenciais por meio de telas de sobreposição, interceptar cookies de sessão e monitorar ações como toques na tela e no teclado. Em versões mais avançadas, o Brokewell pode funcionar como um Trojan de Acesso Remoto (RAT), permitindo que o invasor controle o dispositivo à distância.

Na nova campanha, não é o Brokewell que está sendo distribuído. Na verdade, é instalado um downloader personalizado que aplica Trojan.Agent.GOSL, também chamado JSCEAL ou WeevilProxy.

Como funciona o JSCEAL e o WeevilProxy

O JSCEAL é um malware que usa técnicas de JavaScript compilado para ofuscar o código e dificultar que antivírus detectem-no. Já o WeevilProxy, também um malware, é direcionado a usuários de criptomoedas e pode atuar com ferramentas de controle remoto, como backdoor, fazer o monitoramento de telas, keylogging e manipular extensões de navegador.

Site hospeda versão maliciosa do aplicativo

De acordo com a investigação da Bitdefender, a operação foi iniciada em 22 de julho e já conseguiu atingir dezenas de milhares de pessoas. O golpe funciona de forma simples: ao clicar no anúncio, a vítima é direcionada para uma página falsa, criada para reproduzir o site oficial, mas que oferece a instalação de um APK malicioso — o pacote de aplicativos usado em dispositivos Android.

Depois que o download é feito, o aplicativo passa a atuar em segundo plano, com capacidade de capturar senhas, interceptar mensagens e até ativar recursos de áudio e vídeo sem o consentimento do usuário. Essa técnica, conhecida como malvertising, explora anúncios como armadilha para espalhar vírus. Para cair no golpe, basta que o usuário clique na propaganda e faça o download do app.

O site fraudulento é praticamente idêntico ao original, alterando apenas detalhes no endereço (URL). Já o aplicativo exige permissões avançadas, como acesso às funções de acessibilidade, enquanto engana a vítima com falsos alertas de atualização e até solicita o código de desbloqueio da tela.

Perguntas Frequentes

O que é o golpe envolvendo o app falso do TradingView?

Trata-se de uma campanha maliciosa que utiliza uma versão falsa do aplicativo TradingView, prometendo acesso "premium grátis", para instalar malware em dispositivos Android. Inicialmente veiculado em plataformas da Meta, o golpe agora migrou para o YouTube e Google Ads.

Como os criminosos estão enganando os usuários no YouTube?

Os golpistas criaram um canal falso se passando pelo oficial do TradingView e publicaram vídeos não listados promovendo o app falso. Um desses vídeos chegou a mais de 180 mil visualizações em poucos dias, direcionando usuários para sites fraudulentos.

Qual malware está sendo distribuído atualmente na campanha?

Na nova fase da campanha, o malware distribuído é um downloader personalizado que instala o Trojan.Agent.GOSL, também conhecido como JSCEAL ou WeevilProxy, em vez do Brokewell usado anteriormente.

O que é o JSCEAL e como ele funciona?

JSCEAL é um malware que utiliza técnicas de JavaScript compilado para ofuscar seu código, dificultando a detecção por antivírus. Ele é parte da estratégia para comprometer dispositivos sem levantar suspeitas.

Quais são as capacidades do WeevilProxy?

O WeevilProxy é um malware voltado para usuários de criptomoedas. Ele pode atuar como backdoor, monitorar telas, registrar toques no teclado (keylogging) e manipular extensões de navegador, permitindo controle remoto do dispositivo.

Como funciona o golpe de malvertising usado nessa campanha?

O malvertising consiste em usar anúncios online como isca. Ao clicar no anúncio, o usuário é levado a um site falso que imita o oficial e oferece o download de um APK malicioso. Após a instalação, o app atua em segundo plano, capturando dados e ativando recursos do dispositivo sem permissão.

Quais permissões o app falso solicita ao usuário?

O aplicativo malicioso solicita permissões avançadas, como acesso às funções de acessibilidade. Ele também engana o usuário com falsos alertas de atualização e pode até pedir o código de desbloqueio da tela, facilitando o controle total do dispositivo.

Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall