近几周，网络安全研究人员在 Meta（元宇宙）旗下的 Facebook 平台上发现了一场复杂的恶意广告活动。该活动以 “免费提供 TradingView 高级应用（TradingView Premium）” 为诱饵，专门针对 Android 用户发起攻击。 这些欺诈性广告模仿 TradingView 官方的品牌标识与视觉设计，诱导毫无防备的受害者下载看似合法的 APK 安装包。 然而，一旦完成安装，这款应用就会释放出一款高度复杂的 “偷币木马”（crypto-stealing trojan）。该木马通过滥用辅助功能权限（Accessibility Services）和叠加层（overlay）技术，窃取用户凭据、绕过多因素认证（2FA），并掌控设备功能。 这场活动标志着以移动设备为目标的恶意广告（malvertising）已出现重大升级，体现出攻击者正将传统面向桌面设备的攻击策略，适配到利润日益丰厚的 Android 生态系统中。 2025 年 7 月 22 日该活动首次被发现后，这批恶意广告迅速在欧洲及其他地区蔓延。 用户点击广告后，会被重定向至一个克隆网站 “new-tw-view [.] online”，并从 “tradiwiw [.] online/tw-update.apk” 地址下载 APK 文件。 安装完成后，这个 “投放器”（dropper，指用于释放恶意 payload 的初始程序）会立即请求获取高权限，它伪装成 “合法更新提示”，诱骗用户启用 “辅助功能服务” 并授予 “设备管理员权限”。 比特梵德（Bitdefender）的研究人员指出，在多数情况下，该投放器会 “自我清理”—— 卸载其初始程序文件，只留下核心恶意 payload（有效载荷），以此规避检测。 8 月 22 日，比特梵德研究人员确认，自 7 月底以来，攻击者已投放至少 75 个独特的恶意广告，仅在欧盟地区就触达了数万名用户。 为扩大传播范围、提升可信度，攻击者将诱饵内容本地化，翻译成了十多种语言，包括越南语、葡萄牙语、西班牙语、土耳其语和阿拉伯语。

恶意广告（来源：比特梵德）

攻击者将目标锁定移动用户，这反映出一个更广泛的趋势：随着智能手机成为金融操作（加密货币钱包、移动银行、认证应用）的核心工具，成功入侵设备所能带来的收益也大幅提升。

感染机制技术解析

深入分析攻击链可见，这是一个为实现 “隐蔽性” 与 “持久化” 设计的多阶段流程。投放器 APK 执行后，会先计算 MD5 校验和788cb1965585f5d7b11a0ca35d3346cc，随后解压出一个内嵌的恶意 payload，其校验和为58d6ff96c4ca734cd7dfacc235e105bd。 该 payload 以加密的 DEX 资源（DEX 是 Android 系统的可执行文件格式）形式存储在应用内部。一个原生库（native library）会动态获取解密密钥，并通过 “反射”（reflection）技术加载隐藏的类，以此绕过标准的签名校验机制。 java // 基于反射的payload加载代码

String dexPath = context.getFilesDir() + "/payload.dex";
FileOutputStream fos = new FileOutputStream(dexPath);
fos.write(decryptedBytes);
fos.close();
DexClassLoader loader = new DexClassLoader(dexPath, context.getCacheDir().getAbsolutePath(), null, context.getClassLoader());
Class<?> clazz = loader.loadClass("com.tradingview.updater.Updater");
Method init = clazz.getMethod("initialize", Context.class);
init.invoke(null, context);

覆盖在更新界面上的辅助功能权限请求弹窗（来源：比特梵德）

恶意软件激活后，会注册为 “辅助功能服务”，这使其获得监控用户按键输入、拦截来自谷歌验证器（Google Authenticator）的 2FA 令牌，以及在银行和加密货币应用界面上显示伪造登录页面的能力。 上述代码片段展示了恶意 “更新器类”（Updater）的动态加载方式 —— 这种设计能让静态分析工具无法检测到它的存在。 为实现 “持久化驻留”，恶意软件会在设备重启后重新启用辅助功能服务，并通过调用PackageManager.setComponentEnabledSetting方法将自身图标从应用抽屉（app drawer）中隐藏，阻止用户发现并删除该威胁。 此次攻击体现出高度的自动化操作，同时结合了 “精准定位 Android 设备高价值资产” 的人工级精度。 攻击者通过将 Facebook 广告基础设施武器化，并深度利用 Android 权限模型的特性，打造出这场覆盖全球、可能造成重大经济损失的恶意活动。 企业与个人均需保持警惕：仔细核查应用来源、验证网址真实性，并仅从可信应用商店下载应用，限制 “侧载”（sideload，指安装非官方渠道应用）行为。

关键术语补充说明

1. Malvertising（恶意广告）：指将恶意代码嵌入合法广告平台或广告内容中，通过用户点击广告触发恶意行为（如下载恶意软件、跳转钓鱼网站）的攻击方式。
2. APK：Android 应用程序安装包格式，是 Android 系统中应用的分发与安装文件，第三方来源的 APK 可能存在安全风险。
3. Crypto-stealing Trojan（偷币木马）：专门针对加密货币的恶意软件，通过窃取钱包私钥、拦截交易请求、伪造转账界面等方式盗取用户的加密资产。
4. Accessibility Services（辅助功能服务）：Android 系统为帮助残障用户使用设备而设计的功能，可获取设备界面信息、模拟用户操作；攻击者常滥用该权限实现恶意操作自动化。
5. Overlay（叠加层）技术：指在合法应用界面上覆盖伪造的弹窗或页面（如登录框、验证码输入框），诱导用户输入敏感信息的攻击手段。
6. DexClassLoader：Android 系统中的类加载器，用于加载外部 DEX 文件中的类，攻击者常利用其动态加载隐藏的恶意代码，规避静态检测。