Az ESET kutatócsoport elemezte az Android / FakeAdBlocker elemet, amely egy agresszív hirdetésalapú fenyegetés, amely rosszindulatú programokat tölt le. Az Android / FakeAdBlocker visszaél az URL rövidítő szolgáltatásokkal és az iOS naptárakkal. A trójaiakat Android-eszközökre terjeszti.
Az Android / FakeAdBlocker általában az első indítás után elrejti az indító ikont. Nemkívánatos hamis alkalmazás- vagy felnőtteknek szóló tartalmi hirdetéseket kínál. Spam eseményeket hoz létre a következő hónapokban az iOS és az Android naptárakon. Ezek a hirdetések gyakran veszteségeket okoznak az áldozatoknak fizetett SMS-ek küldésével, felesleges szolgáltatások előfizetésével vagy Android banki trójai, SMS-trójai és rosszindulatú alkalmazások letöltésével. Ezenkívül a rosszindulatú program URL-rövidítő szolgáltatásokat használ a hirdetési linkek létrehozásához. A felhasználók pénzt vesztenek, amikor a létrehozott URL-linkekre kattintanak.
Az ESET telemetria alapján az Android / FakeAdBlocker programot először 2019 szeptemberében fedezték fel. 1. január 1. és július 2021. között ennek a fenyegetésnek több mint 150.000 XNUMX példányát töltötték le Android készülékekre. A leginkább érintett országok közé tartozik Ukrajna, Kazahsztán, Oroszország, Vietnam, India, Mexikó és az Egyesült Államok. Míg a rosszindulatú program sok esetben sértő hirdetéseket jelenített meg, az ESET több száz olyan esetet is észlelt, amikor különböző rosszindulatú programokat töltöttek le és hajtottak végre; Ide tartozik a Cerberus trójai program, amely úgy tűnik, hogy Chrome, Android Update, Adobe Flash Player vagy Android Update, és Törökországban, Lengyelországban, Spanyolországban, Görögországban és Olaszországban töltődik le. Az ESET azt is megállapította, hogy a Ginp trójai programot letöltették Görögországban és a Közel-Keleten.
Legyen óvatos az alkalmazások letöltésével kapcsolatban
Az ESET kutatója, Lukáš Štefanko, aki az Android / FakeAdBlocker elemzését végezte, kifejtette: „Telemetria alapján sok felhasználó hajlamos letölteni az Android-alkalmazásokat a Google Playtől eltérő forrásokból. Ez viszont rosszindulatú szoftverek elterjedéséhez vezethet a bevételek generálásához használt agresszív hirdetési gyakorlatok révén. ” A rövidített URL-linkek bevételszerzésével kapcsolatban Lukáš Štefanko így folytatta: „Amikor valaki rákattint egy ilyen linkre, megjelenik egy hirdetés, amely bevételt generál annak a személynek, aki létrehozta a rövidített URL-t. A probléma az, hogy ezek a linkrövidítő szolgáltatások némelyike sértő hirdetési technikákat alkalmaz, például hamis szoftvereket, amelyek közlik a felhasználókkal, hogy eszközeiket veszélyes rosszindulatú programok fertőzik meg. "
Az ESET kutatócsoport olyan linkrövidítő szolgáltatások által generált eseményeket észlelt, amelyek eseményeket küldenek az iOS naptárakba, és aktiválják az Android / FakeAdBlocker kártékony programokat, amelyeket Android-eszközökön lehet elindítani. Amellett, hogy iOS-eszközökön elárasztják a felhasználót nem kívánt hirdetésekkel, ezek a linkek automatikusan letölthetik az ICS-naptárfájlt, és eseményeket hozhatnak létre az áldozatok naptárain.
A felhasználókat becsapják
Štefanko folytatta: „10 eseményt hoz létre, amelyek minden nap 18 percig tartanak. Nevük és leírásuk azt a benyomást kelti, hogy az áldozat telefonja fertőzött, az áldozat adatait online tették közzé, és hogy a víruskereső alkalmazás lejárt. A tevékenységek leírása tartalmaz egy linket, amely arra irányítja az áldozatot, hogy látogassa meg a hamis adware webhelyet. Ez a webhely ismét azt állítja, hogy az eszköz fertőzött, és felajánlja a felhasználónak, hogy állítólag tisztább alkalmazásokat töltsön le a Google Playről. ”
A helyzet még veszélyesebb az Android-eszközöket használó áldozatok számára; mert ezek a csaló webhelyek rosszindulatú alkalmazásletöltésekhez vezethetnek a Google Play áruházon kívülről. Az egyik forgatókönyv szerint a webhely egy „adBLOCK” nevű alkalmazás letöltését kéri, amelynek semmi köze a jogi gyakorlathoz, és éppen ellenkezőleg jár el a hirdetések blokkolásával. Egy másik forgatókönyv szerint, amikor az áldozatok folytatják a kért fájl letöltését, megjelenik egy weboldal, amely a „A fájl készen áll a letöltésre” nevű rosszindulatú alkalmazás letöltésére és telepítésére szolgál. Mindkét esetben hamis reklámprogramokat vagy Android / FakeAdBlocker trójai programot küld az URL-rövidítési szolgáltatáson keresztül.
Legyen az első, aki kommentál