Výzkumný tým ESET analyzoval Android / FakeAdBlocker, agresivní hrozbu založenou na reklamách, která stahuje malware. Android / FakeAdBlocker zneužívá služby pro zkrácení adres URL a kalendáře iOS. Distribuuje trojské koně do zařízení Android.
Android / FakeAdBlocker obvykle skryje ikonu spouštěče po prvním spuštění. Nabízí nežádoucí falešné reklamy na reklamy nebo obsah pro dospělé. Vytváří spamové události v nadcházejících měsících v kalendářích iOS a Android. Tyto reklamy často způsobují obětem ztrátu peněz zasíláním placených SMS zpráv, přihlášením k odběru nepotřebných služeb nebo stahováním bankovních trojských koní pro Android, SMS trojských koní a škodlivých aplikací. Malware dále využívá ke generování reklamních odkazů služby zkracovače adres URL. Uživatelé přicházejí o peníze kliknutím na vygenerované odkazy URL.
Na základě telemetrie ESET byl Android / FakeAdBlocker poprvé detekován v září 2019. Mezi 1. lednem a 1. červencem 2021 bylo do zařízení Android staženo více než 150.000 XNUMX případů této hrozby. Mezi nejvíce postižené země patří Ukrajina, Kazachstán, Rusko, Vietnam, Indie, Mexiko a Spojené státy. Zatímco malware v mnoha případech zobrazoval urážlivé reklamy, ESET také detekoval stovky případů, kdy byl stažen a spuštěn jiný malware; Mezi ně patří trojský kůň Cerberus, který se zdá být Chrome, Android Update, Adobe Flash Player nebo Update Android a je stahován do zařízení v Turecku, Polsku, Španělsku, Řecku a Itálii. ESET také zjistil, že trojský kůň Ginp byl stažen v Řecku a na Středním východě.
Buďte opatrní, kam stahujete aplikace
Výzkumník ESET Lukáš Štefanko, který analyzoval Android / FakeAdBlocker, vysvětlil: „Na základě naší telemetrie má mnoho uživatelů tendenci stahovat aplikace pro Android z jiných zdrojů než Google Play. To zase může vést k šíření škodlivého softwaru agresivními reklamními praktikami používanými k vytváření výnosů. “ V komentáři ke zpeněžení zkrácených URL odkazů Lukáš Štefanko pokračoval: „Když někdo klikne na takový odkaz, zobrazí se reklama, která generuje příjmy pro osobu, která zkrácenou URL vytvořila. Problém je v tom, že některé z těchto služeb zkracování odkazů používají urážlivé reklamní techniky, jako je falešný software, který uživatelům sděluje, že jejich zařízení jsou infikována nebezpečným malwarem. “
ESET Research Team detekoval události generované službami pro zkrácení odkazů, které odesílají události do kalendářů iOS a aktivují malware Android / FakeAdBlocker, který lze spustit na zařízeních Android. Kromě zaplavení uživatele nechtěnými reklamami na zařízeních iOS mohou tyto odkazy automaticky stáhnout soubor kalendáře ICS a vytvářet události v kalendářích obětí.
Uživatelé jsou podvedeni
Štefanko pokračoval: „Vytváří 10 událostí, které se konají každý den a každý trvá 18 minut. Jejich jména a popisy vytvářejí dojem, že je telefon oběti infikován, že data oběti byla vystavena online a platnost antivirové aplikace vypršela. Popis činností zahrnuje odkaz, který oběť nasměruje k návštěvě falešného webu s adwarem. Tento web opět tvrdí, že je zařízení infikováno, a nabízí uživateli možnost stáhnout si údajně čistší aplikace z Google Play. “
Situace je ještě nebezpečnější pro oběti používající zařízení Android; protože tyto podvodné weby mohou vést ke stahování škodlivých aplikací mimo obchod Google Play. V jednom scénáři web požaduje stažení aplikace s názvem „adBLOCK“, která nemá nic společného s právní praxí a dělá opak blokování reklam. V jiném scénáři, když oběti pokračují ve stahování požadovaného souboru, zobrazí se webová stránka s kroky ke stažení a instalaci škodlivé aplikace s názvem „Váš soubor je připraven ke stažení“. V obou scénářích je falešný adware nebo trojský kůň Android / FakeAdBlocker odesílán prostřednictvím služby zkracování adres URL.
Buďte první kdo napíše komentář