ESET istraživački tim analizirao je Android / FakeAdBlocker, agresivnu prijetnju zasnovanu na oglasima koja preuzima malware. Android / FakeAdBlocker zloupotrebljava usluge skraćivanja URL-a i iOS kalendare. Trojance distribuira na Android uređaje.
Android / FakeAdBlocker obično skriva ikonu pokretača nakon prvog pokretanja. Nudi neželjene lažne aplikacije ili oglase za sadržaj za odrasle. Stvara neželjene događaje u narednim mjesecima na iOS i Android kalendarima. Ti oglasi često uzrokuju da žrtve gube novac slanjem plaćenih SMS poruka, pretplatom na nepotrebne usluge ili preuzimanjem Android bankarskih trojanaca, SMS trojanaca i zlonamjernih aplikacija. Uz to, zlonamjerni softver koristi usluge skraćivača URL-ova za generiranje veza do oglasa. Korisnici gube novac klikom na generirane URL veze.
Na temelju ESET telemetrije, Android / FakeAdBlocker prvi je put otkriven u rujnu 2019. Između 1. siječnja i 1. srpnja 2021. godine više od 150.000 XNUMX slučajeva ove prijetnje preuzeto je na Android uređaje. Najugroženije zemlje su Ukrajina, Kazahstan, Rusija, Vijetnam, Indija, Meksiko i Sjedinjene Države. Iako je zlonamjerni softver u mnogim slučajevima prikazivao uvredljive oglase, ESET je također otkrio stotine slučajeva kada je različit zlonamjerni softver preuzet i pokrenut; Tu spadaju trojanski program Cerberus, koji se čini Chrome, Android Update, Adobe Flash Player ili Update Android i preuzima se na uređaje u Turskoj, Poljskoj, Španjolskoj, Grčkoj i Italiji. ESET je također utvrdio da je trojac Ginp preuzet u Grčkoj i na Bliskom istoku.
Pripazite gdje preuzimate aplikacije
ESET-ov istraživač Lukáš Štefanko, koji je analizirao Android / FakeAdBlocker, objasnio je: „Na temelju naše telemetrije, mnogi korisnici imaju tendenciju da Android aplikacije preuzimaju iz izvora koji nisu Google Play. To zauzvrat može dovesti do širenja zlonamjernog softvera agresivnim praksama oglašavanja koje se koriste za stvaranje prihoda. " Komentirajući unovčavanje skraćenih URL veza, Lukáš Štefanko je nastavio: „Kad netko klikne na takvu vezu, prikazuje se oglas koji donosi prihod osobi koja je stvorila skraćeni URL. Problem je u tome što se neke od ovih usluga skraćivanja veza koriste uvredljivim tehnikama oglašavanja, poput lažnog softvera koji korisnicima govori da su njihovi uređaji zaraženi opasnim zlonamjernim softverom. "
ESET istraživački tim otkrio je događaje generirane uslugama skraćivanja veza koje događaje šalju u iOS kalendare i aktiviraju zlonamjerni softver Android / FakeAdBlocker koji se može pokrenuti na Android uređajima. Osim što korisnika preplavljuju neželjenim oglasima na iOS uređajima, ove poveznice mogu automatski preuzeti datoteku ICS kalendara i stvoriti događaje na kalendarima žrtava.
Korisnici su prevareni
Štefanko je nastavio: „Stvara 10 događaja koji se održavaju svaki dan, a traju po 18 minuta. Njihova imena i opisi stvaraju dojam da je žrtvin telefon zaražen, da su žrtvini podaci izloženi na mreži i da je antivirusna aplikacija istekla. Opisi aktivnosti uključuju vezu koja usmjerava žrtvu da posjeti lažno web mjesto adware-a. Ta web stranica ponovno tvrdi da je uređaj zaražen i nudi korisniku mogućnost preuzimanja navodno čistijih aplikacija s Google Playa. "
Situacija je još opasnija za žrtve koje koriste Android uređaje; jer ove lažne web stranice mogu dovesti do zlonamjernih preuzimanja aplikacija izvan trgovine Google Play. U jednom scenariju, web mjesto traži preuzimanje aplikacije nazvane "adBLOCK", koja nema nikakve veze s pravnom praksom, već suprotno od blokiranja oglasa. U drugom scenariju, kada žrtve preuzmu traženu datoteku, pojavit će se web stranica s koracima za preuzimanje i instaliranje zlonamjerne aplikacije pod nazivom "Vaša datoteka je spremna za preuzimanje". U oba scenarija, lažni adware ili Android / FakeAdBlocker trojanski virus šalje se putem usluge skraćivanja URL-a.
Budite prvi koji će komentirati