ESETi uurimisrühm analüüsis Androidi / FakeAdBlockerit - agressiivset reklaamipõhist ohtu, mis laadib alla pahavara. Android / FakeAdBlocker kuritarvitab URL-i lühendamise teenuseid ja iOS-i kalendreid. See levitab Trooja hobuseid Android-seadmetesse.
Android / FakeAdBlocker peidab käivitaja ikooni tavaliselt pärast esimest käivitamist. See pakub soovimatuid võltsrakendusi või täiskasvanutele mõeldud sisureklaame. See loob lähikuudel rämpssündmusi iOS-i ja Androidi kalendrites. Need reklaamid põhjustavad ohvritele sageli raha kaotamist, saates tasulisi SMS-teateid, tellides tarbetuid teenuseid või laadides alla Androidi panga troojalased, SMS-troojalased ja pahatahtlikud rakendused. Lisaks kasutab pahavara reklaamilinkide loomiseks URL-i lühendamise teenuseid. Kasutajad kaotavad genereeritud URL-i linkidel klõpsates raha.
ESET-i telemeetria põhjal tuvastati Android / FakeAdBlocker esmakordselt 2019. aasta septembris. Ajavahemikul 1. jaanuar kuni 1. juuli 2021 laaditi Android-seadmetesse alla selle ohu üle 150.000 XNUMX juhtumi. Enim kannatada saanud riikide hulka kuuluvad Ukraina, Kasahstan, Venemaa, Vietnam, India, Mehhiko ja Ameerika Ühendriigid. Kui pahavara kuvas paljudel juhtudel solvavaid reklaame, tuvastas ESET ka sadu juhtumeid, kus erinevat pahavara laaditi alla ja täideti; Nende hulka kuulub Cerberuse trooja, mis näib olevat Chrome, Android Update, Adobe Flash Player või Update Android ja mis on alla laaditud Türgi, Poola, Hispaania, Kreeka ja Itaalia seadmetesse. ESET on ka kindlaks teinud, et Ginpi trooja on Kreekas ja Lähis-Idas alla laaditud.
Olge rakenduste allalaadimisel ettevaatlik
ESETi teadur Lukáš Štefanko, kes analüüsis Androidi / FakeAdBlockerit, selgitas: „Meie telemeetria põhjal laadivad paljud kasutajad Androidi rakendusi alla muudest allikatest kui Google Play. See võib omakorda viia pahatahtliku tarkvara levitamiseni agressiivsete reklaamipraktikate abil, mida autorid tulu saamiseks kasutavad. ” Lühendatud URL-i linkide monetiseerimist kommenteerides jätkas Lukáš Štefanko: „Kui keegi sellisele lingile klikib, kuvatakse reklaam, mis teenib lühendatud URL-i loonud inimesele tulu. Probleem on selles, et mõned neist linkide lühendamise teenustest kasutavad solvavaid reklaamitehnikaid, näiteks võltsitud tarkvara, mis ütleb kasutajatele, et nende seadmed on nakatunud ohtliku pahavaraga. "
ESETi uurimisrühm on tuvastanud lingilühendusteenuste genereeritud sündmused, mis saadavad sündmusi iOS-i kalendritesse ja aktiveerivad Android-seadmetes käivitatava pahavara Android / FakeAdBlocker. Lisaks iOS-i seadmetes kasutajale soovimatute reklaamidega üleujutamisele saavad need lingid automaatselt ICS-i kalendrifaili alla laadida ja ohvrite kalendritesse sündmusi luua.
Kasutajaid petetakse
Štefanko jätkas: „Ta loob 10 üritust, mis toimuvad iga päev, igaüks kestab 18 minutit. Nende nimed ja kirjeldused loovad mulje, et ohvri telefon on nakatunud, et ohvri andmeid on veebis avaldatud ja viirusetõrjerakendus on aegunud. Sündmuste kirjeldused sisaldavad linki, mis suunab ohvri külastama võltsitud reklaamvara veebisaiti. See veebisait väidab taas, et seade on nakatunud, ja pakub kasutajale võimalust alla laadida väidetavalt puhtamad rakendused Google Playst. "
Olukord on veelgi ohtlikum Android-seadmeid kasutavate ohvrite jaoks; kuna need petturlikud veebisaidid võivad viia pahatahtlike rakenduste allalaadimisteni väljaspool Google Play poodi. Ühe stsenaariumi korral palub veebisait alla laadida rakenduse nimega „adBLOCK“, millel pole midagi pistmist õiguspraktikaga ja mis on reklaamide blokeerimisele vastupidine. Teise stsenaariumi korral, kui ohvrid jätkavad soovitud faili allalaadimist, kuvatakse veebileht koos pahatahtliku rakenduse nimega „Teie fail on allalaadimiseks valmis” allalaadimiseks ja installimiseks. Mõlemas stsenaariumis saadetakse võltsitud reklaamvara või Android / FakeAdBlockeri trooja URL-i lühendamise teenuse kaudu.
Ole esimene, kes kommenteerib