Echipa de cercetare ESET a analizat Android / FakeAdBlocker, o amenințare agresivă bazată pe reclame care descarcă malware. Android / FakeAdBlocker abuzează de serviciile de scurtare a adreselor URL și de calendarele iOS. Distribuie troieni pe dispozitivele Android.
Android / FakeAdBlocker ascunde de obicei pictograma lansatorului după prima lansare. Oferă reclame nedorite cu aplicații false sau conținut pentru adulți. Creează evenimente spam în lunile următoare pe calendarele iOS și Android. Aceste reclame determină adesea victimelor să piardă bani prin trimiterea de mesaje SMS plătite, abonarea la servicii inutile sau descărcarea troienilor bancari Android, troienilor SMS și a aplicațiilor rău intenționate. În plus, malware-ul folosește servicii de scurtare a adreselor URL pentru a genera linkuri publicitare. Utilizatorii pierd bani atunci când dau clic pe linkurile URL generate.
Pe baza telemetriei ESET, Android / FakeAdBlocker a fost detectat pentru prima dată în septembrie 2019. În perioada 1 ianuarie - 1 iulie 2021, peste 150.000 de cazuri de această amenințare au fost descărcate pe dispozitivele Android. Printre țările cele mai afectate se numără Ucraina, Kazahstan, Rusia, Vietnam, India, Mexic și Statele Unite. În timp ce malware-ul a afișat reclame jignitoare în multe cazuri, ESET a detectat, de asemenea, sute de cazuri în care au fost descărcate și executate diferite programe malware; Acestea includ troianul Cerberus, care pare a fi Chrome, Android Update, Adobe Flash Player sau Update Android și este descărcat pe dispozitive din Turcia, Polonia, Spania, Grecia și Italia. ESET a stabilit, de asemenea, că troianul Ginp a fost descărcat în Grecia și Orientul Mijlociu.
Aveți grijă de unde descărcați aplicații
Cercetătorul ESET Lukáš Štefanko, care a analizat Android/FakeAdBlocker, a explicat: „Pe baza telemetriei noastre, mulți utilizatori tind să descarce aplicații Android din alte surse decât Google Play. Acest lucru, la rândul său, poate duce la răspândirea autorilor malware-ului prin practici publicitare jignitoare folosite pentru a genera venituri.” Comentând despre monetizarea linkurilor URL scurtate, Lukáš Štefanko a continuat: „Când cineva face clic pe un astfel de link, este afișat un anunț care generează venituri pentru persoana care a creat adresa URL scurtată. Problema este că unele dintre aceste servicii de scurtare a legăturilor folosesc tehnici de publicitate ofensatoare, cum ar fi software-ul fals care spune utilizatorilor că dispozitivele lor sunt infectate cu programe malware periculoase.”
Echipa de cercetare ESET a detectat evenimente generate de serviciile de scurtare a legăturilor care trimit evenimente către calendarele iOS și activează malware-ul Android / FakeAdBlocker care poate fi lansat pe dispozitivele Android. Pe lângă inundarea utilizatorului cu anunțuri nedorite pe dispozitivele iOS, aceste link-uri pot descărca automat un fișier de calendar ICS și pot crea evenimente în calendarele victimelor.
Utilizatorii sunt înșelați
Štefanko a continuat: „El creează 10 evenimente care au loc în fiecare zi, cu o durată de 18 minute fiecare. Numele și descrierile acestora creează impresia că telefonul victimei este infectat, că datele victimei au fost expuse online și că aplicația antivirus a expirat. Descrierile activităților includ un link care direcționează victima să viziteze site-ul web fals adware. Acest site web susține din nou că dispozitivul este infectat și oferă utilizatorului opțiunea de a descărca aplicații presupuse mai curate de pe Google Play. ”
Situația este și mai periculoasă pentru victimele care utilizează dispozitive Android; deoarece aceste site-uri web frauduloase pot duce la descărcări de aplicații dăunătoare din afara magazinului Google Play. Într-un scenariu, site-ul web solicită descărcarea unei aplicații numite „adBLOCK”, care nu are nimic de-a face cu practica juridică și face opusul blocării anunțurilor. Într-un alt scenariu, când victimele continuă să descarce fișierul solicitat, apare o pagină web cu pași pentru descărcarea și instalarea aplicației dăunătoare numită „Fișierul dvs. este gata de descărcare”. În ambele scenarii, adware-ul fals sau troianul Android / FakeAdBlocker sunt trimise prin intermediul serviciului de scurtare a adreselor URL.
Fii primul care comenteaza