Компания ESET - лидер в области информационной безопасности - сообщила об обнаружении вредоносного программного обеспечения Android/FakeAdBlocker, которое отображает нежелательную рекламу и создает спам-события в календарях iOS и Android. Кроме этого, угроза может загружать другие вредоносные компоненты.
После нажатия на рекламные объявления жертвы часто теряют деньги, отправляя SMS по повышенному тарифу, подписываясь на ненужные услуги или загружая банковские трояны, SMS-трояны и другие вредоносные программы. Для создания ссылок на рекламу угроза использует сервисы для сокращения URL-адресов.
По данным телеметрии ESET, угроза впервые обнаружена в сентябре 2019 года, а с января по июль 2021 года на устройства Android было загружено более 150 000 ее образцов. Больше всего жертв зафиксировано в таких странах, как Украина, Казахстан, Россия, Вьетнам, Индия, Мексика и США.
Страны с наибольшим количеством выявленных образцов Android/FakeAdBlocker (1 января - 1 июня 2021 г.)
Хотя в большинстве случаев Android/FakeAdBlocker показывает опасную рекламу, компания ESET обнаружила сотни случаев загрузки и запуска различных вредоносных программ, в том числе и банковского трояна Cerberus.
Этот троян маскировался под Chrome, Android Update, Adobe Flash Player или Update Android и загружался на устройства пользователей из Турции, Польши, Испании, Греции и Италии. Кроме этого, исследователи ESET зафиксировали загрузку трояна Ginp на устройства в Греции и на Ближнем Востоке.
"По данным телеметрии ESET, многие пользователи загружают приложения для Android с сторонних магазинов, а не с Google Play. В таком случае риск загрузки вредоносных программ, особенно при переходе по рекламным объявлениям, очень высокий", - объясняет Лукаш Стефанко, исследователь компании ESET.
Исследователи ESET обнаружили, что c помощью сервисов для сокращения URL-ссылок злоумышленники добавляют события в календарь iOS и распространяют угрозу Android/FakeAdBlocker, которая запускается на устройствах Android. На смартфонах iOS, кроме отображения нежелательной рекламы, эти ссылки могут создавать события в календарях путем автоматической загрузки файла календаря ICS.
"Угроза создает 18 событий, которые происходят ежедневно и длятся по 10 минут каждая", - комментирует Лукаш Стефанко. - В их именах и описаниях указано, что смартфон заражен, данные жертвы доступны в Интернете или срок действия программы по безопасности закончился. В описании каждого события есть ссылка, по которой жертва переходит на сайт с опасной рекламой. Этот сайт снова утверждает, что устройство было заражено, и предлагает пользователю загрузить приложение с Google Play для очистки".
Тогда как пользователям Android эти мошеннические сайты могут предлагать загрузить вредоносное приложение из посторонних магазинов. В одном из сценариев сайт запрашивает загрузку программы под названием "adBLOCK", которая не имеет ничего общего с легитимным приложением и не блокирует рекламу.
В другом случае, когда жертвы загружают файл, отображается страница с текстом "Ваш файл готов к загрузке" и шагами относительно загрузки и установки вредоносного приложения. В обоих сценариях реклама или троян Android/FakeAdBlocker распространяются с помощью сервисов для сокращения URL-ссылок.
Чтобы не стать жертвой этой угрозы, специалисты ESET рекомендуют пользователям:
Более подробная информация об угрозе Android/FakeAdBlocker доступна по ссылке.