Raziskovalna skupina ESET je analizirala Android / FakeAdBlocker, agresivno grožnjo na podlagi oglasov, ki prenaša zlonamerno programsko opremo. Android / FakeAdBlocker zlorablja storitve krajšanja URL-jev in koledarjev iOS. Trojance distribuira v naprave Android.
Android / FakeAdBlocker ponavadi po prvem zagonu skrije ikono zaganjalnika. Ponuja neželene lažne aplikacije ali oglase za vsebino za odrasle. V prihodnjih mesecih ustvarja neželene dogodke v koledarjih iOS in Android. Ti oglasi pogosto povzročijo, da žrtve izgubijo denar s pošiljanjem plačljivih sporočil SMS, naročanjem na nepotrebne storitve ali prenosom bančnih trojancev Android, trojanskih sporočil SMS in zlonamernih aplikacij. Poleg tega zlonamerna programska oprema za ustvarjanje povezav do oglasov uporablja storitve za skrajšanje URL-jev. Uporabniki izgubijo denar s klikom na ustvarjene povezave URL.
Na podlagi ESET telemetrije je bil Android / FakeAdBlocker prvič zaznan septembra 2019. Med 1. januarjem in 1. julijem 2021 je bilo v naprave Android prenesenih več kot 150.000 primerov te grožnje. Med najbolj prizadetimi državami so Ukrajina, Kazahstan, Rusija, Vietnam, Indija, Mehika in ZDA. Medtem ko je zlonamerna programska oprema v mnogih primerih prikazovala žaljive oglase, je ESET zaznal tudi stotine primerov, ko je bila različna zlonamerna programska oprema prenesena in izvršena; Sem spada trojanski Cerberus, za katerega se zdi, da je Chrome, Android Update, Adobe Flash Player ali Update Android in je naložen v naprave v Turčiji, na Poljskem, v Španiji, Grčiji in Italiji. ESET je ugotovil tudi, da je bil trojanec Ginp prenesen v Grčiji in na Bližnjem vzhodu.
Pazite, kje prenašate aplikacije
Raziskovalec ESET Lukáš Štefanko, ki je analiziral Android / FakeAdBlocker, je pojasnil: »Na podlagi naše telemetrije mnogi uporabniki ponavadi nalagajo aplikacije za Android iz drugih virov kot Google Play. To pa lahko privede do širjenja zlonamerne programske opreme z agresivnimi oglaševalskimi praksami, ki jih avtorji uporabljajo za ustvarjanje prihodka. " Lukáš Štefanko je v komentarju monetizacije skrajšanih povezav URL nadaljeval: »Ko nekdo klikne takšno povezavo, se prikaže oglas, ki ustvari prihodek za osebo, ki je ustvarila skrajšani URL. Težava je v tem, da nekatere od teh storitev za krajšanje povezav uporabljajo žaljive oglaševalske tehnike, na primer ponarejeno programsko opremo, ki uporabnikom sporoča, da so njihove naprave okužene z nevarno zlonamerno programsko opremo. "
Raziskovalna skupina ESET je zaznala dogodke, ustvarjene s storitvami za krajšanje povezav, ki pošiljajo dogodke v koledarje iOS in aktivirajo zlonamerno programsko opremo Android / FakeAdBlocker, ki jo je mogoče zagnati v napravah Android. Poleg tega, da uporabnika zasipajo z neželenimi oglasi v napravah iOS, lahko te povezave samodejno prenesejo datoteko koledarja ICS in ustvarijo dogodke v koledarjih žrtev.
Uporabniki so prevarani
Štefanko je nadaljeval: »Ustvari 10 dogodkov, ki se odvijajo vsak dan in trajajo po 18 minut. Njihova imena in opisi ustvarjajo vtis, da je žrtev telefon okužen, da so bili podatki žrtve razkriti v spletu in da je protivirusna aplikacija potekla. Opisi dogodkov vsebujejo povezavo, ki žrtev usmerja k obisku lažnega spletnega mesta z oglaševalsko programsko opremo. To spletno mesto spet trdi, da je naprava okužena, in uporabniku ponuja možnost, da iz Googla Play naloži domnevno čistejše aplikacije. "
Situacija je še bolj nevarna za žrtve, ki uporabljajo naprave Android; ker lahko ta goljufiva spletna mesta vodijo do zlonamernih prenosov aplikacij zunaj trgovine Google Play. V enem primeru spletno mesto zahteva prenos aplikacije z imenom »adBLOCK«, ki nima nobene zveze s pravno prakso in naredi nasprotno od blokiranja oglasov. V drugem primeru, ko žrtve prenesejo zahtevano datoteko, se prikaže spletna stran s koraki za prenos in namestitev zlonamerne aplikacije, imenovane »Vaša datoteka je pripravljena za prenos«. V obeh primerih se prek storitve krajšanja URL-jev pošilja ponarejena oglaševalska programska oprema ali trojanski program Android / FakeAdBlocker.
Najprej komentirajte