Výskumný tím ESET analyzoval Android / FakeAdBlocker, agresívnu hrozbu založenú na reklamách, ktorá sťahuje malware. Android / FakeAdBlocker zneužíva služby skracovania adries URL a kalendáre iOS. Distribuuje trójske kone do zariadení Android.
Android / FakeAdBlocker zvyčajne skryje ikonu spúšťača po prvom spustení. Ponúka nežiaduce falošné reklamy na aplikácie alebo obsah pre dospelých. V kalendároch pre iOS a Android vytvára spamové udalosti v nasledujúcich mesiacoch. Tieto reklamy často spôsobujú obetiam stratu peňazí odosielaním platených SMS správ, predplatením nepotrebných služieb alebo sťahovaním bankových trójskych koní pre Android, trójskych koní pre SMS a škodlivých aplikácií. Malvér navyše využíva na generovanie reklamných odkazov služby skracovania adries URL. Používatelia prichádzajú o peniaze kliknutím na vygenerované odkazy URL.
Na základe telemetrie ESET bol Android / FakeAdBlocker prvýkrát detekovaný v septembri 2019. Od 1. januára do 1. júla 2021 bolo do zariadení s Androidom stiahnutých viac ako 150.000 XNUMX prípadov tejto hrozby. Medzi najviac postihnuté krajiny patrí Ukrajina, Kazachstan, Rusko, Vietnam, India, Mexiko a USA. Aj keď malvér v mnohých prípadoch zobrazoval urážlivé reklamy, ESET zistil aj stovky prípadov, kedy bol stiahnutý a vykonaný iný malvér; Medzi ne patrí trójsky kôň Cerberus, ktorý sa javí ako Chrome, Android Update, Adobe Flash Player alebo Update Android a sťahuje sa do zariadení v Turecku, Poľsku, Španielsku, Grécku a Taliansku. ESET tiež určil, že trójsky kôň Ginp bol stiahnutý v Grécku a na Blízkom východe.
Pri sťahovaní aplikácií buďte opatrní
Výskumný pracovník spoločnosti ESET Lukáš Štefanko, ktorý analyzoval Android / FakeAdBlocker, vysvetlil: „Na základe našej telemetrie má veľa používateľov tendenciu sťahovať aplikácie pre Android z iných zdrojov ako Google Play. To zase môže viesť k rozšíreniu škodlivého softvéru agresívnymi reklamnými postupmi používanými na generovanie výnosov. “ Lukáš Štefanko v komentári k speňaženiu skrátených URL odkazov pokračoval: „Keď niekto klikne na takýto odkaz, zobrazí sa reklama, ktorá generuje výnosy pre osobu, ktorá skrátenú URL vytvorila. Problém je v tom, že niektoré z týchto služieb na skrátenie odkazov používajú urážlivé reklamné techniky, ako je napríklad falošný softvér, ktorý informuje používateľov, že ich zariadenia sú infikované nebezpečným škodlivým softvérom. “
Tím spoločnosti ESET Research zistil udalosti generované službami na skrátenie odkazov, ktoré odosielajú udalosti do kalendárov systému iOS a aktivujú malvér Android / FakeAdBlocker, ktorý je možné spustiť na zariadeniach so systémom Android. Okrem zaplavenia používateľa nežiaducimi reklamami v zariadeniach so systémom iOS môžu tieto odkazy automaticky stiahnuť súbor kalendára ICS a vytvárať udalosti v kalendároch obetí.
Používatelia sú podvedení
Štefanko pokračoval: „Vytvára 10 udalostí, ktoré sa konajú každý deň a trvajú každý 18 minút. Ich mená a popisy vytvárajú dojem, že telefón obete je infikovaný, že údaje obete boli sprístupnené online a platnosť antivírusovej aplikácie skončila. Popis činností obsahuje odkaz, ktorý obete nasmeruje na návštevu falošnej webovej stránky s adware. Táto webová stránka opäť tvrdí, že je zariadenie infikované, a ponúka používateľovi možnosť stiahnuť si zo služby Google Play údajne čistejšie aplikácie. “
Situácia je ešte nebezpečnejšia pre obete používajúce zariadenia s Androidom; pretože tieto podvodné webové stránky môžu viesť k stiahnutiu škodlivej aplikácie z iného obchodu ako Google Play. V jednom scenári web žiada o stiahnutie aplikácie s názvom „adBLOCK“, ktorá nemá nič spoločné s právnou praxou a robí opak blokovania reklám. V inom scenári, keď obete pokračujú v sťahovaní požadovaného súboru, zobrazí sa webová stránka s pokynmi na stiahnutie a inštaláciu škodlivej aplikácie s názvom „Váš súbor je pripravený na stiahnutie“. V obidvoch prípadoch sa falošný adware alebo trójsky kôň Android / FakeAdBlocker odosiela prostredníctvom služby skrátenia adresy URL.
Buďte prvý komentár