Исследовательская группа ESET проанализировала Android / FakeAdBlocker, агрессивную рекламную угрозу, которая загружает вредоносное ПО. Android / FakeAdBlocker злоупотребляет службами сокращения URL-адресов и календарями iOS. Распространяет трояны на Android-устройства.
Android / FakeAdBlocker обычно скрывает значок запуска после первого запуска. Он предлагает нежелательные поддельные приложения или рекламу для взрослых. Он создает события спама в ближайшие месяцы в календарях iOS и Android. Из-за такой рекламы жертвы часто теряют деньги из-за отправки платных SMS-сообщений, подписки на ненужные услуги или загрузки банковских троянов Android, SMS-троянов и вредоносных приложений. Кроме того, вредоносная программа использует службы сокращения URL-адресов для создания рекламных ссылок. Пользователи теряют деньги при переходе по сгенерированным URL-ссылкам.
На основе телеметрии ESET Android / FakeAdBlocker был впервые обнаружен в сентябре 2019 года. В период с 1 января по 1 июля 2021 года на устройства Android было загружено более 150.000 XNUMX экземпляров этой угрозы. К наиболее пострадавшим странам относятся Украина, Казахстан, Россия, Вьетнам, Индия, Мексика и США. Хотя вредоносная программа во многих случаях показывала оскорбительную рекламу, ESET также обнаружила сотни случаев загрузки и запуска различных вредоносных программ; К ним относятся троян Cerberus, который выглядит как Chrome, Android Update, Adobe Flash Player или Update Android и загружается на устройства в Турции, Польше, Испании, Греции и Италии. ESET также определила, что троян Ginp был загружен в Греции и на Ближнем Востоке.
Будьте осторожны при загрузке приложений
Исследователь ESET Лукаш Штефанко, проанализировавший Android/FakeAdBlocker, пояснил: «Исходя из нашей телеметрии, многие пользователи склонны загружать приложения для Android не из Google Play, а из других источников. Это, в свою очередь, может привести к распространению вредоносного программного обеспечения за счет агрессивной рекламы, используемой авторами для получения дохода». Комментируя монетизацию сокращенных URL-ссылок, Лукаш Штефанко продолжил: «Когда кто-то нажимает на такую ссылку, отображается реклама, которая приносит доход тому, кто создал сокращенный URL-адрес. Проблема в том, что некоторые из этих сервисов сокращения ссылок используют оскорбительные рекламные приемы, такие как поддельное программное обеспечение, которое сообщает пользователям, что их устройства заражены опасным вредоносным ПО».
Исследовательская группа ESET обнаружила события, генерируемые службами сокращения ссылок, которые отправляют события в календари iOS и активируют вредоносное ПО Android / FakeAdBlocker, которое можно запускать на устройствах Android. Помимо наводнения пользователя нежелательной рекламой на устройствах iOS, эти ссылки могут автоматически загружать файл календаря ICS и создавать события в календарях жертв.
Пользователей обманывают
Штефанко продолжил: «Он создает 10 мероприятий, которые проходят каждый день по 18 минут каждое. Их имена и описания создают впечатление, что телефон жертвы заражен, что данные жертвы были раскрыты в Интернете и что срок действия антивирусного приложения истек. Описание действий включает ссылку, которая направляет жертву на веб-сайт поддельного рекламного ПО. Этот веб-сайт снова утверждает, что устройство заражено, и предлагает пользователю возможность загрузить якобы более чистые приложения из Google Play ».
Ситуация еще более опасна для жертв, использующих устройства Android; потому что эти мошеннические веб-сайты могут привести к загрузке вредоносных приложений из-за пределов магазина Google Play. В одном из сценариев веб-сайт запрашивает загрузку приложения под названием «adBLOCK», которое не имеет ничего общего с юридической практикой и выполняет функцию, противоположную блокировке рекламы. В другом сценарии, когда жертвы приступают к загрузке запрошенного файла, появляется веб-страница с инструкциями по загрузке и установке вредоносного приложения под названием «Ваш файл готов к загрузке». В обоих сценариях поддельное рекламное ПО или троян Android / FakeAdBlocker отправляется через службу сокращения URL-адресов.
Будьте первым, кто оставит отзыв