Иллюстрация REUTERS

Компания ESET - лидер в области информационной безопасности - сообщила об обнаружении вредоносного программного обеспечения Android/FakeAdBlocker, которое отображает нежелательную рекламу и создает спам-события в календарях iOS и Android. Кроме этого, угроза может загружать другие вредоносные компоненты.

После нажатия на рекламные объявления жертвы часто теряют деньги, отправляя SMS по повышенному тарифу, подписываясь на ненужные услуги или загружая банковские трояны, SMS-трояны и другие вредоносные программы. Для создания ссылок на рекламу угроза использует сервисы для сокращения URL-адресов.

По данным телеметрии ESET, угроза впервые обнаружена в сентябре 2019 года, а с января по июль 2021 года на устройства Android было загружено более 150 000 ее образцов. Больше всего жертв зафиксировано в таких странах, как Украина, Казахстан, Россия, Вьетнам, Индия, Мексика и США.

 

Страны с наибольшим количеством выявленных образцов Android/FakeAdBlocker (1 января - 1 июня 2021 г.)

Хотя в большинстве случаев Android/FakeAdBlocker показывает опасную рекламу, компания ESET обнаружила сотни случаев загрузки и запуска различных вредоносных программ, в том числе и банковского трояна Cerberus. Этот троян маскировался под Chrome, Android Update, Adobe Flash Player или Update Android и загружался на устройства пользователей из Турции, Польши, Испании, Греции и Италии. Кроме этого, исследователи ESET зафиксировали загрузку трояна Ginp на устройства в Греции и на Ближнем Востоке.

"По данным телеметрии ESET, многие пользователи загружают приложения для Android с сторонних магазинов, а не с Google Play. В таком случае риск загрузки вредоносных программ, особенно при переходе по рекламным объявлениям, очень высокий", - объясняет Лукаш Стефанко, исследователь компании ESET.

Исследователи ESET обнаружили, что c помощью сервисов для сокращения URL-ссылок злоумышленники добавляют события в календарь iOS и распространяют угрозу Android/FakeAdBlocker, которая запускается на устройствах Android. На смартфонах iOS, кроме отображения нежелательной рекламы, эти ссылки могут создавать события в календарях путем автоматической загрузки файла календаря ICS.

"Угроза создает 18 событий, которые происходят ежедневно и длятся по 10 минут каждая", - комментирует Лукаш Стефанко. - В их именах и описаниях указано, что смартфон заражен, данные жертвы доступны в Интернете или срок действия программы по безопасности закончился. В описании каждого события есть ссылка, по которой жертва переходит на сайт с опасной рекламой. Этот сайт снова утверждает, что устройство было заражено, и предлагает пользователю загрузить приложение с Google Play для очистки".

Тогда как пользователям Android эти мошеннические сайты могут предлагать загрузить вредоносное приложение из посторонних магазинов. В одном из сценариев сайт запрашивает загрузку программы под названием "adBLOCK", которая не имеет ничего общего с легитимным приложением и не блокирует рекламу. В другом случае, когда жертвы загружают файл, отображается страница с текстом "Ваш файл готов к загрузке" и шагами относительно загрузки и установки вредоносного приложения. В обоих сценариях реклама или троян Android/FakeAdBlocker распространяются с помощью сервисов для сокращения URL-ссылок.

Чтобы не стать жертвой этой угрозы, специалисты ESET рекомендуют пользователям:

  • не предоставлять доступ к календарю на неизвестных сайтах;
  • загружать приложения для Android только из официального магазина Google Play;
  • сразу закрывать сайты, которые перенаправляют на разные страницы и открывают много вкладок одновременно;
  • не предоставлять разрешение неизвестным сайтам на отправку уведомлений в браузере;
  • не вводить конфиденциальные данные в формы для участия в розыгрышах призов.

Более подробная информация об угрозе Android/FakeAdBlocker доступна по ссылке.

Читайте также:

Как обеспечить надежную защиту смартфона - советы специалистов

Вредоносный ли безопасный сайт: как проверить и на что обращать внимание

Интернет-безопасность телефона: как предотвратить заражение устройств