關閉選單
  1. Home
  2. NEWS最新消息
  3. 案例與專題
  4. 資安管理
顯示分類
2025.09.07
案例與專題/資安管理
Brokewell Android 惡意軟體與 TamperedChef 資訊竊取木馬的威脅解析
導言

隨著數位廣告平台與免費軟體需求的快速成長,惡意攻擊者正將「惡意廣告(Malvertising)」與「偽裝應用」結合,成為滲透企業與個人系統的重要手段。本文聚焦兩起近期重大案例:

  1. Brokewell Android 惡意軟體:透過假冒 TradingView Premium 應用程式的廣告進行傳播,針對加密交易族群與行動裝置用戶。
  2. TamperedChef 資訊竊取木馬:以 PDF 編輯器名義發行的惡意軟體,利用延遲啟動與合法簽章規避偵測,專門竊取憑證與會話資訊。

透過深入分析這兩個案例,我們將探討攻擊者的手法、技術細節、策略背景以及對企業資訊安全治理的啟示,並提出應對與防護建議。

 

案例分析一:Brokewell Android 惡意軟體與假冒 TradingView 廣告
  1. 攻擊背景與目標族群
自 2025 年 7 月起,攻擊者利用 Meta 廣告投放假冒「TradingView Premium」應用的訊息,吸引用戶下載 Android APK。廣告特別鎖定歐盟加密交易使用者,這類人群通常高度依賴移動裝置進行金融操作,若裝置遭到控制,將直接影響資金安全。
廣告內容看似來自合法品牌,甚至會根據裝置類型決定導向頁面。若使用非 Android 裝置,會被轉至官方 TradingView 網站,進一步降低懷疑。

  1. 惡意軟體功能與行為

Brokewell 是一個進階 Android 木馬,本次攻擊版本具備以下特徵:

  • 憑證與會話竊取:透過覆蓋(Overlay)技術竄改登入頁面,盜取帳號、密碼與 Session Cookie。
  • 裝置監控:監視觸控、滑動、鍵入操作,並可擷取定位、通話記錄與音訊。
  • 遠端控制:具備完整 RAT 功能,可透過 Tor 與 WebSocket 接收指令。
  • 螢幕鎖破解:利用假更新提示,竊取裝置 PIN 碼。
  • 金融應用監視:特別針對交易與金融服務 App,進行持續監控。

即便如此,Brokewell 仍會要求使用者授予「無障礙存取權限」,並透過假冒的更新介面進行欺騙。

  1. 廣告攻擊策略
  • 品牌濫用:利用 TradingView 名稱與設計元素,建立信任感。
  • 社交工程:以「免費 Premium 版本」誘惑使用者,迎合貪小便宜心理。
  • 定向推播:針對特定市場與用戶群投放廣告,提高成功率。
  1. 防禦建議
  • 僅從官方應用商店下載程式,避免 sideload APK。
  • 對「免費升級」或「高級版本」廣告保持高度懷疑。
  • 不隨意授予 Accessibility 權限。
  • 部署行動威脅偵測系統,監控異常流量與權限變更。
  • 金融交易應用應搭配多層認證,並持續監控異常行為。

案例分析二:TamperedChef 資訊竊取木馬與偽冒 PDF 編輯器
  1. 攻擊背景
2025 年 6 月起,攻擊者透過 Google Ads 推廣一款名為 AppSuite PDF Editor 的免費工具,誘導使用者下載。該工具表面正常,甚至使用合法公司簽章,卻暗藏名為 TamperedChef 的惡意木馬。這場攻擊至少涉及 50 個域名,並結合多個下載工具作為傳播通道,規模龐大且高度隱蔽。
  1. 技術原理
  • 延遲啟動:安裝後,惡意程式不會立即行動,而是潛伏約 56 天後才啟動惡意功能。此舉可避開沙箱分析與防毒偵測,並配合廣告推廣週期。
  • 惡意行為:一旦啟動,TamperedChef 會掃描並規避防毒軟體、竊取瀏覽器 Cookies及帳號密碼與憑證、關閉瀏覽器進行資料擷取,並建立後門持久化,允許攻擊者後續入侵。
  • 代理濫用:部分安裝工具會將受感染主機註冊為「住宅代理節點」,被用來轉發非法流量,掩蓋攻擊者來源。
  1. 攻擊策略
  • 合法簽章:使用真實公司憑證簽署程式,提升可信度。
  • 多層工具鏈:先以下載工具植入,再透過 PDF 工具啟動 TamperedChef,強化隱蔽性。
  • 廣告管道:利用 Google Ads 擴散,鎖定尋找免費工具的廣大使用者。
  1. 防禦建議
  • 僅允許從官方網站或可信來源下載軟體。
  • 建立內部沙箱環境,所有外部檔案需先測試。
  • 部署端點防護與 EDR,監控 Registry 修改與持久化活動。
  • 定期檢查軟體簽章與來源,發現異常立即封鎖。
  • 提高員工對廣告下載工具的警覺意識,避免因便利而降低防護標準。

綜合討論:惡意廣告與偽裝應用的資安新趨勢
  1. 廣告平台成為主要傳播媒介:不論是 Meta 或 Google Ads,廣告網路已成為攻擊者的低成本高效能選擇。透過品牌仿冒與地域定向投放,惡意軟體得以迅速擴散。
  2. 技術與心理結合,攻擊者結合社交工程與技術隱匿:
  • 社交層面:以「免費」、「升級」或「便利性」引誘使用者。
  • 技術層面:使用合法簽章、延遲啟動或假更新,規避防禦。
  1. 多層鏈式攻擊:攻擊往往不是單一階段,而是分層鏈式操作,從下載工具、偽裝應用到最終木馬,逐步建立持久控制。
  2. 對企業的挑戰
  • 行動安全:BYOD 與員工自帶裝置成為潛在進入點。
  • 供應鏈風險:假工具可能滲透進開發環境或協作流程。
  • 資安治理:合法簽章與廣告平台難以完全阻止攻擊,企業需自建防線。

組織應對策略
領域                措施
人員教育          定期培訓員工辨識廣告陷阱與假軟體。
應用管控僅允許安裝來自官方或已審核來源的軟體。
行為監控部署 EDR/AI 偵測,鎖定異常流量與持久化行為。          
檔案檢測引入沙箱技術,所有外部檔案先行隔離執行。
簽章管理驗證軟體簽章來源,對可疑簽章提高警示等級。
事件回應感染後即時封鎖、重置憑證並通報。
情資共享主動參與產業資安聯盟,更新 IoC 與威脅情報。


透過 Brokewell 與 TamperedChef 兩起案例,我們可以清楚看見惡意廣告與偽裝應用的危險性。這些攻擊將持續進化,唯有組織建立 多層次資安防禦架構,並強化員工意識與技術偵測能力,才能有效降低風險,保障企業營運與資訊安全。

參考資料:

  1. https://www.bleepingcomputer.com/news/security/brokewell-android-malware-delivered-through-fake-tradingview-ads/, 2025/8/31
  2. https://www.bleepingcomputer.com/news/security/tamperedchef-infostealer-delivered-through-fraudulent-pdf-editor/
本文粗略剖析 Brokewell 和 TamperedChef 兩大惡意軟體案例,探討攻擊者如何利用「惡意廣告」與「偽裝應用」作為滲透管道。