ESET-tutkimusryhmä analysoi Android / FakeAdBlocker, aggressiivisen mainospohjaisen uhkan, joka lataa haittaohjelmia. Android / FakeAdBlocker käyttää väärin URL-lyhennepalveluja ja iOS-kalentereita. Se jakaa troijalaisia Android-laitteille.
Android / FakeAdBlocker piilottaa yleensä käynnistyskuvakkeen ensimmäisen käynnistämisen jälkeen. Se tarjoaa ei-toivottuja väärennettyjä sovellus- tai aikuissisältömainoksia. Se luo lähikuukausina roskapostitapahtumia iOS- ja Android-kalentereihin. Nämä mainokset aiheuttavat uhreille usein menetyksiä lähettämällä maksettuja tekstiviestejä, tilaamalla tarpeettomia palveluita tai lataamalla Android-pankkitroijalaisia, tekstiviestitroijalaisia ja haitallisia sovelluksia. Lisäksi haittaohjelma käyttää URL-lyhennepalveluja mainoslinkkien luomiseen. Käyttäjät menettävät rahaa napsauttamalla luotuja URL-linkkejä.
ESET-telemetrian perusteella Android / FakeAdBlocker havaittiin ensimmäisen kerran syyskuussa 2019. 1. tammikuuta ja 1. heinäkuuta 2021 välisenä aikana yli 150.000 XNUMX tätä uhkaa on ladattu Android-laitteisiin. Eniten kärsineitä maita ovat Ukraina, Kazakstan, Venäjä, Vietnam, Intia, Meksiko ja Yhdysvallat. Vaikka haittaohjelma näytti loukkaavia mainoksia monissa tapauksissa, ESET havaitsi myös satoja tapauksia, joissa erilaisia haittaohjelmia ladattiin ja suoritettiin; Näitä ovat Cerberus-troijalainen, joka näyttää olevan Chrome, Android Update, Adobe Flash Player tai Update Android ja ladattu laitteisiin Turkissa, Puolassa, Espanjassa, Kreikassa ja Italiassa. ESET on myös todennut, että Ginp-troijalainen on ladattu Kreikassa ja Lähi-idässä.
Ole varovainen lataamalla sovelluksia
ESET-tutkija Lukáš Štefanko, joka analysoi Android / FakeAdBlocker, selitti: "Telemetriamme perusteella monet käyttäjät pyrkivät lataamaan Android-sovelluksia muista lähteistä kuin Google Playsta. Tämä puolestaan voi johtaa haittaohjelmien leviämiseen aggressiivisilla mainontakäytännöillä, joita tekijät käyttävät tulojen tuottamiseen. " Lukáš Štefanko kommentoi lyhennettyjen URL-linkkien kaupallistamista: "Kun joku napsauttaa tällaista linkkiä, näytetään mainos, joka tuottaa tuloja lyhennetyn URL-osoitteen luoneelle henkilölle. Ongelmana on, että jotkut näistä linkkien lyhentämispalveluista käyttävät loukkaavia mainostekniikoita, kuten väärennettyjä ohjelmistoja, jotka kertovat käyttäjille, että heidän laitteensa ovat vaarallisen haittaohjelman tartuttamia. "
ESET-tutkimusryhmä on havainnut linkkien lyhentämispalveluiden tuottamia tapahtumia, jotka lähettävät tapahtumia iOS-kalentereihin ja aktivoivat haittaohjelman Android / FakeAdBlocker, joka voidaan käynnistää Android-laitteilla. Sen lisäksi, että nämä linkit tulvivat käyttäjää ei-toivotuilla mainoksilla iOS-laitteilla, ne voivat automaattisesti ladata ICS-kalenteritiedoston ja luoda tapahtumia uhrien kalentereihin.
Käyttäjiä huijataan
Štefanko jatkoi: ”Hän luo 10 tapahtumaa, jotka tapahtuvat joka päivä, kumpikin 18 minuuttia. Heidän nimensä ja kuvauksensa luovat vaikutelman, että uhrin puhelin on saanut tartunnan, että uhrin tiedot on paljastettu verkossa ja että virustentorjuntaohjelma on vanhentunut. Tapahtumien kuvauksissa on linkki, joka ohjaa uhrin käymään väärennetyn mainosohjelman verkkosivustolla. Tuo verkkosivusto väittää jälleen, että laite on saanut tartunnan, ja tarjoaa käyttäjälle mahdollisuuden ladata oletettavasti puhtaampia sovelluksia Google Playsta. "
Tilanne on vieläkin vaarallisempi uhreille, jotka käyttävät Android-laitteita. koska nämä petolliset verkkosivustot voivat johtaa haittaohjelmien lataamiseen Google Play -kaupan ulkopuolelta. Yhdessä skenaariossa verkkosivusto pyytää lataamaan sovelluksen nimeltä “adBLOCK”, jolla ei ole mitään tekemistä oikeudellisen käytännön kanssa ja joka päinvastoin estää mainosten estämisen. Toisessa skenaariossa, kun uhrit jatkavat pyydetyn tiedoston lataamista, näkyviin tulee verkkosivu, jossa on vaiheet ladata ja asentaa haittaohjelma nimeltä Tiedosto on valmis lataamaan. Molemmissa tilanteissa väärennettyjä mainosohjelmia tai Android / FakeAdBlocker-troijalaisia lähetetään URL-osoitteiden lyhentämispalvelun kautta.
Ole ensimmäinen, joka kommentoi