ESET istraživački tim analizirao je Android / FakeAdBlocker, agresivnu prijetnju zasnovanu na oglasima koja preuzima malware. Android / FakeAdBlocker zloupotrebljava usluge skraćivanja URL-a i iOS kalendare. Trojance distribuira na Android uređaje.
Android / FakeAdBlocker obično skriva ikonu pokretača nakon prvog pokretanja. Nudi neželjene lažne aplikacije ili oglase za sadržaj za odrasle. Stvara neželjene događaje u narednim mjesecima na iOS i Android kalendarima. Ovi oglasi često uzrokuju gubitak novca žrtvama slanjem plaćenih SMS poruka, pretplatom na nepotrebne usluge ili preuzimanjem Android bankarskih trojanaca, SMS trojanaca i zlonamjernih aplikacija. Pored toga, zlonamjerni softver koristi usluge skraćivača URL-ova za generiranje veza do oglasa. Korisnici gube novac klikom na generirane URL veze.
Na osnovu ESET telemetrije, Android / FakeAdBlocker prvi je put otkriven u septembru 2019. Između 1. januara i 1. jula 2021. godine više od 150.000 XNUMX slučajeva ove prijetnje preuzeto je na Android uređaje. Najugroženije zemlje su Ukrajina, Kazahstan, Rusija, Vijetnam, Indija, Meksiko i Sjedinjene Države. Iako je zlonamjerni softver u mnogim slučajevima prikazivao uvredljive oglase, ESET je također otkrio stotine slučajeva kada je različit malware preuzet i pokrenut; Tu spadaju trojanski program Cerberus, za koji se čini da je Chrome, Android Update, Adobe Flash Player ili Update Android i preuzima se na uređaje u Turskoj, Poljskoj, Španiji, Grčkoj i Italiji. ESET je također utvrdio da je trojac Ginp preuzet u Grčkoj i na Bliskom istoku.
Pazite gdje preuzimate aplikacije
Istraživač ESET-a Lukáš Štefanko, koji je analizirao Android/FakeAdBlocker, objasnio je: „Na osnovu naše telemetrije, mnogi korisnici imaju tendenciju da preuzimaju Android aplikacije iz izvora koji nisu Google Play. To, zauzvrat, može dovesti do širenja autora zlonamjernog softvera kroz uvredljive reklamne prakse koje se koriste za generiranje prihoda.” Komentarišući monetizaciju skraćenih URL linkova, Lukáš Štefanko je nastavio: „Kada neko klikne na takav link, prikazuje se oglas koji stvara prihod za osobu koja je kreirala skraćeni URL. Problem je u tome što neke od ovih usluga skraćivanja linkova koriste uvredljive tehnike oglašavanja, kao što je lažni softver koji govori korisnicima da su njihovi uređaji zaraženi opasnim zlonamjernim softverom.”
ESET istraživački tim otkrio je događaje generirane uslugama skraćivanja veza koje šalju događaje u iOS kalendare i aktiviraju zlonamjerni softver Android / FakeAdBlocker koji se može pokrenuti na Android uređajima. Pored toga što korisnika preplavljuju neželjenim oglasima na iOS uređajima, ove veze mogu automatski preuzeti datoteku ICS kalendara i stvoriti događaje na kalendarima žrtava.
Korisnici su prevareni
Štefanko je nastavio: „Stvara 10 događaja koji se održavaju svaki dan, a traju po 18 minuta. Njihova imena i opisi stvaraju dojam da je žrtvin telefon zaražen, da su žrtvini podaci izloženi na mreži i da je antivirusna aplikacija istekla. Opisi događaja sadrže vezu koja upućuje žrtvu da posjeti lažnu web lokaciju adware-a. Ta web lokacija ponovno tvrdi da je uređaj zaražen i nudi korisniku mogućnost preuzimanja navodno čistijih aplikacija s Google Playa. "
Situacija je još opasnija za žrtve koje koriste Android uređaje; jer ove lažne web stranice mogu dovesti do zlonamjernih preuzimanja aplikacija izvan trgovine Google Play. U jednom scenariju, web lokacija traži preuzimanje aplikacije nazvane „adBLOCK“, koja nema nikakve veze s pravnom praksom, već suprotno od blokiranja oglasa. U drugom scenariju, kada žrtve preuzmu traženu datoteku, pojavit će se web stranica s koracima za preuzimanje i instaliranje zlonamjerne aplikacije pod nazivom „Vaša datoteka je spremna za preuzimanje“. U oba scenarija, lažni adware ili Android / FakeAdBlocker trojanski virus šalje se putem usluge skraćivanja URL-a.
Budite prvi koji će komentirati