ESET повідомляє про виявлення шкідливого програмного забезпечення Android/FakeAdBlocker
ESET повідомляє про виявлення шкідливого програмного забезпечення Android/FakeAdBlocker
Компанія ESET повідомила про виявлення шкідливого програмного забезпечення Android/FakeAdBlocker, яке відображає небажану рекламу та створює спам-події в календарях iOS та Android. Крім того, загроза може завантажувати і інші шкідливі компоненти.
Після натискання на рекламу жертви часто втрачають гроші, відправляючи СМС за підвищеним тарифом, підписуючись на непотрібні сервіси або завантажуючи банківські трояни, трояни СМС і інші шкідливі програми. Для створення посилань на оголошення загроза використовує сервіси для скорочення URL-адрес.
За даними телеметрії ESET, вперше загроза була виявлена у вересні 2019 року, а з січня по липень 2021 року на пристрої Android було завантажено понад 150 000 її зразків. Найбільше жертв зафіксовано в таких країнах, як Україна, Казахстан, В'єтнам, Індія, Мексика та США.
Хоча в більшості випадків android/FakeAdBlocker показує небезпечну рекламу, компанія ESET виявила сотні випадків завантаження та запуску різних шкідливих програм, включаючи банківський троян Cerberus. Цей троян був замаскований під Chrome, Android Update, Adobe Flash Player або Android Update і був завантажений на пристрої користувачів з Туреччини, Польщі, Іспанії, Греції та Італії. Крім того, дослідники ESET зафіксували завантаження трояна Ginp на пристрої в Греції і на Близькому Сході.
«За даними телеметрії ESET, багато користувачів завантажують android-додатки зі сторонніх магазинів, а не з Google Play. У цьому випадку ризик завантаження шкідливих програм, особливо при натисканні на рекламу, дуже високий», - пояснює дослідник ESET.
Дослідники ESET виявили, що за допомогою сервісів для зменшення URL-посилань зловмисники додають події в календар iOS і поширюють загрозу Android/FakeAdBlocker, яка працює на пристроях Android. На смартфонах iOS, крім показу небажаної реклами, ці посилання можуть створювати події в календарях, автоматично завантажуючи файл календаря ICS.
«Загрозу створюють 18 подій, які відбуваються щодня і тривають по 10 хвилин», – коментує Лукас Стефанко. Їх імена та описи вказують на те, що смартфон заражений, дані жертви доступні в інтернеті, або термін дії програми безпеки закінчився. В описі кожної події є посилання, де жертва переходить на сайт з небезпечною рекламою. Цей сайт знову стверджує, що пристрій було заражено, і пропонує користувачеві завантажити додаток з Google Play для очищення".
Тоді як користувачам Android цим шахрайським сайтам може бути запропоновано завантажити шкідливу програму зі сторонніх магазинів. В одному зі сценаріїв сайт запитує завантаження програми під назвою "adBLOCK", яка не має нічого спільного з законним додатком і не блокує рекламу. В іншому випадку, коли жертви завантажують файл, відображається сторінка з текстом "Ваш файл готовий до завантаження" і кроками, що стосуються завантаження та установки шкідливого додатка. В обох сценаріях реклама android/FakeAdBlocker або трояни поширюються за допомогою служб скорочення URL-адрес.
Щоб не стати жертвою цієї загрози, експерти ESET рекомендують користувачам:
- Не діліться календарем на невідомих сайтах.
- Завантажуйте додатки для Android тільки з офіційного магазину Google Play.
- відразу закривати сайти, які перенаправляють на різні сторінки і відкривати безліч вкладок одночасно;
- Не надавайте дозвіл невідомим сайтам на відправку повідомлень в браузері;
- не вносити конфіденційні дані у форми для участі в розіграшах призів.
