Изследователският екип на ESET анализира Android / FakeAdBlocker, агресивна рекламна заплаха, която изтегля зловреден софтуер. Android / FakeAdBlocker злоупотребява с услугите за съкращаване на URL адреси и календарите на iOS. Той разпространява троянски коне до устройства с Android.
Android / FakeAdBlocker обикновено скрива иконата на стартера след първото стартиране. Той предлага нежелани фалшиви приложения или реклами за съдържание за възрастни. Той създава спам събития през следващите месеци в календарите на iOS и Android. Тези реклами често карат жертвите да губят пари, като изпращат платени SMS съобщения, абонират се за ненужни услуги или изтеглят троянски коне за Android, SMS троянски коне и злонамерени приложения. Освен това зловредният софтуер използва услуги за съкращаване на URL адреси, за да генерира рекламни връзки. Потребителите губят пари при кликване върху генерираните URL връзки.
Въз основа на телеметрията на ESET, Android / FakeAdBlocker е открит за първи път през септември 2019 г. Между 1 януари и 1 юли 2021 г. над 150.000 XNUMX случая на тази заплаха са изтеглени на устройства с Android. Най-засегнатите страни включват Украйна, Казахстан, Русия, Виетнам, Индия, Мексико и САЩ. Докато зловредният софтуер показва обидни реклами в много случаи, ESET също така открива стотици случаи, при които различен зловреден софтуер е изтеглен и изпълнен; Те включват троянския кон Cerberus, който изглежда е Chrome, Android Update, Adobe Flash Player или Update Android и се изтегля на устройства в Турция, Полша, Испания, Гърция и Италия. ESET също така установи, че троянският Ginp е изтеглен в Гърция и Близкия изток.
Внимавайте къде изтегляте приложения
Изследователят на ESET Лукаш Щефанко, който анализира Android / FakeAdBlocker, обясни: „Въз основа на нашата телеметрия много потребители са склонни да изтеглят приложения за Android от източници, различни от Google Play. Това от своя страна може да доведе до разпространение на авторите на зловредния софтуер чрез обидни рекламни практики, използвани за генериране на приходи. “ Коментирайки осигуряването на приходи от съкратени URL връзки, Lukáš Štefanko продължи: „Когато някой кликне върху такава връзка, се показва реклама, която генерира приходи за съкратената URL връзка. Проблемът е, че някои от тези услуги за съкращаване на връзки използват обидни рекламни техники, като фалшив софтуер, който съобщава на потребителите, че техните устройства са заразени от опасен злонамерен софтуер. “
Изследователският екип на ESET е открил събития, генерирани от услуги за съкращаване на връзки, които изпращат събития към календари на iOS и активират зловредния софтуер Android / FakeAdBlocker, който може да бъде стартиран на устройства с Android. В допълнение към заливането на потребителя с нежелани реклами на устройства с iOS, тези връзки могат автоматично да изтеглят ICS файл от календара и да създават събития в календарите на жертвите.
Потребителите са измамени
Щефанко продължи: „Той създава 10 събития, които се провеждат всеки ден, с продължителност по 18 минути. Техните имена и описания създават впечатлението, че телефонът на жертвата е заразен, че данните на жертвата са били изложени онлайн и че антивирусната програма е изтекла. Описанията на дейностите включват връзка, която насочва жертвата да посети фалшивия уебсайт за рекламен софтуер. Този уебсайт отново твърди, че устройството е заразено и предлага на потребителя опцията да изтегли предполагаемо по-чисти приложения от Google Play. "
Ситуацията е още по-опасна за жертвите, използващи устройства с Android; защото тези измамни уебсайтове могат да доведат до злонамерени изтегляния на приложения извън магазина на Google Play. В един сценарий уебсайтът иска изтегляне на приложение, наречено „adBLOCK“, което няма нищо общо с правната практика и прави обратното на блокирането на реклами. При друг сценарий, когато жертвите продължават да изтеглят искания файл, се появява уеб страница със стъпки за изтегляне и инсталиране на зловредното приложение, наречено „Вашият файл е готов за изтегляне“. И в двата сценария фалшив рекламен софтуер или троянец Android / FakeAdBlocker се изпраща чрез услугата за съкращаване на URL адреси.
Бъдете първите, които коментират