ESET tyrimų komanda išanalizavo „Android“ / „FakeAdBlocker“ - agresyvią grėsmę, paremtą skelbimais, atsisiunčiančią kenkėjiškas programas. „Android“ / „FakeAdBlocker“ piktnaudžiauja URL sutrumpinimo paslaugomis ir „iOS“ kalendoriais. Ji platina Trojos arklius į „Android“ įrenginius.
„Android“ / „FakeAdBlocker“ paprastai paslepia paleidimo piktogramą po pirmojo paleidimo. Jame siūlomi nepageidaujami netikrų programų arba suaugusiesiems skirto turinio skelbimai. Jis generuoja šlamšto įvykius ateinančių mėnesių iOS ir Android kalendoriuose. Dėl šių skelbimų aukos dažnai praranda pinigus siųsdamos mokamas SMS žinutes, užsiprenumeruodamos nereikalingas paslaugas arba atsisiųsdamos „Android“ bankininkystės Trojos arklys, SMS Trojos arklius ir kenkėjiškas programas. Be to, kenkėjiška programa naudoja URL sutrumpinimo paslaugas reklaminėms nuorodoms kurti. Vartotojai praranda pinigus, kai paspaudžiamos sugeneruotos URL nuorodos.
Remiantis ESET telemetrija, „Android“ / „FakeAdBlocker“ pirmą kartą buvo aptikta 2019 m. rugsėjo mėn. Nuo 1 m. sausio 1 d. iki liepos 2021 d. į „Android“ įrenginius buvo atsisiųsta daugiau nei 150.000 XNUMX šios grėsmės atvejų. Labiausiai nukentėjusios šalys yra Ukraina, Kazachstanas, Rusija, Vietnamas, Indija, Meksika ir JAV. Nors kenkėjiška programa daugeliu atvejų rodė įžeidžiančius skelbimus, ESET taip pat aptiko šimtus atvejų, kai buvo atsisiųsta ir paleista skirtinga kenkėjiška programa; Tai apima Trojos arklys „Cerberus“, kuris yra „Chrome“, „Android Update“, „Adobe Flash Player“ arba „Android Update“ ir buvo atsisiųstas į įrenginius Turkijoje, Lenkijoje, Ispanijoje, Graikijoje ir Italijoje. ESET taip pat nustatė, kad Ginp Trojos arklys buvo atsisiųstas Graikijoje ir Viduriniuose Rytuose.
Būkite atsargūs, kur atsisiunčiate programas
ESET tyrėjas Lukášas Štefanko, išanalizavęs „Android“ / „FakeAdBlocker“, paaiškino: „Remiantis mūsų telemetrija, daugelis vartotojų yra linkę atsisiųsti „Android“ programas iš kitų šaltinių nei „Google Play“. „Dėl to kenkėjiškų programų autoriai gali ją platinti naudodami agresyvią reklamavimo praktiką, naudojamą pajamoms gauti. Komentuodamas pinigų gavimą sutrumpintų URL nuorodų, Lukášas Štefanko tęsė: „Kai kas nors paspaudžia tokią nuorodą, rodomas skelbimas, leidžiantis sutrumpinto URL kūrėjui užsidirbti pajamų. „Problema ta, kad kai kurios iš šių nuorodų sutrumpinimo paslaugų naudoja invazinius reklamos būdus, pvz., netikrą programinę įrangą, kuri verčia vartotojus pasakyti, kad jų įrenginiai yra užkrėsti pavojingomis ir kenkėjiškomis programomis.
ESET tyrimų komanda aptiko įvykius, sugeneruotus naudojant nuorodų sutrumpinimo paslaugas, kurios siunčia įvykius į iOS kalendorius ir suaktyvina „Android“ / „FakeAdBlocker“ kenkėjiškas programas, kurias galima paleisti „Android“ įrenginiuose. Šios nuorodos ne tik užplūsta vartotoją nepageidaujamais skelbimais „iOS“ įrenginiuose, bet ir gali sukurti įvykius aukų kalendoriuose, automatiškai atsisiunčiant ICS kalendoriaus failą.
Vartotojai yra apgaudinėjami
Štefanko tęsė: „Jis sukuria 10 įvykių, kurie vyksta kiekvieną dieną, kiekvienas trunka 18 minučių. Jų pavadinimai ir aprašymai sukuria įspūdį, kad aukos telefonas buvo užkrėstas, aukos duomenys buvo atskleisti internete, o antivirusinės programėlės galiojimo laikas baigėsi. Įvykių aprašymuose yra nuoroda, nukreipianti auką apsilankyti netikrų reklaminių programų svetainėje. Toje svetainėje dar kartą teigiama, kad įrenginys užkrėstas, ir siūlo vartotojui galimybę atsisiųsti tariamai švaresnes programas iš „Google Play“.
Situacija dar pavojingesnė nukentėjusiems, naudojantiems Android įrenginius; nes šios apgaulingos svetainės gali paskatinti kenkėjiškų programų atsisiuntimą ne iš „Google Play“ parduotuvės. Pagal vieną scenarijų svetainė prašo atsisiųsti programą, pavadintą „adBLOCK“, kuri neturi nė menkiausio ryšio su teisine praktika ir veikia visiškai priešingai nei blokuoja skelbimus. Pagal kitą scenarijų, kai aukos atsisiunčia prašomą failą, pasirodo tinklalapis su veiksmais, kaip atsisiųsti ir įdiegti kenkėjišką programą, pavadintą „Jūsų failas paruoštas atsisiųsti“. Abiem atvejais netikros reklaminės programos arba „Android“ / „FakeAdBlocker“ Trojos arklys pristatomi naudojant URL sutrumpinimo paslaugą.
Būkite pirmas, kuris komentuoja