היזהר מיישומי חסימת מודעות מזויפים!

צוות המחקר של ESET ניתח את Android / FakeAdBlocker, איום מבוסס מודעות אגרסיבי שמוריד תוכנות זדוניות. Android / FakeAdBlocker מתעלל בשירותי מקצר כתובות אתרים וביומני iOS. הוא מפיץ טרויאנים למכשירי אנדרואיד.

Android / FakeAdBlocker בדרך כלל מסתיר את סמל המפעיל לאחר ההשקה הראשונה. הוא מציע מודעות אפליקציה מזויפות או תוכן למבוגרים בלבד. זה יוצר אירועי דואר זבל בחודשים הקרובים ביומני iOS ו- Android. מודעות אלו לעיתים קרובות גורמות לקורבנות לאבד כסף על ידי שליחת הודעות SMS בתשלום, הרשמה לשירותים מיותרים או הורדת סוסים טרויאנים של בנקים אנדרואיד, סוסים טרויאנים של SMS ואפליקציות זדוניות. בנוסף, התוכנה הזדונית משתמשת בשירותי מקצר כתובות אתרים כדי ליצור קישורי מודעות. משתמשים מפסידים כסף בלחיצה על קישורי URL שנוצרו.

בהתבסס על טלמטריה של ESET, Android / FakeAdBlocker זוהה לראשונה בספטמבר 2019. בין ה -1 בינואר ל -1 ביולי 2021, יותר מ -150.000 מקרים של איום זה הורדו למכשירי Android. המדינות המושפעות ביותר כוללות את אוקראינה, קזחסטן, רוסיה, וייטנאם, הודו, מקסיקו וארצות הברית. בעוד שהתוכנה הזדונית הציגה מודעות פוגעניות במקרים רבים, ESET זיהתה גם מאות מקרים בהם הורדו והוצאו להורג תוכנות זדוניות שונות; אלה כוללים את הטרויאני של Cerberus, שנראה כרום, Android Update, Adobe Flash Player או Update Android ומוריד למכשירים בטורקיה, פולין, ספרד, יוון ואיטליה. ESET קבע גם כי הטרויאני של גינפ הורד ביוון ובמזרח התיכון.

היזהר היכן שתוריד אפליקציות

חוקר ESET לוקאס סטפנקו, שניתח את אנדרואיד / FakeAdBlocker, הסביר: "בהתבסס על הטלמטריה שלנו, משתמשים רבים נוטים להוריד אפליקציות אנדרואיד ממקורות שאינם Google Play. זה, בתורו, יכול להוביל להתפשטות של תוכנות זדוניות על ידי שיטות פרסום אגרסיביות המשמשות לייצור הכנסות. " בהתייחסו למונטיזציה של קישורי URL מקוצרים, המשיך לוקש סטפנקו: "כשמישהו לוחץ על קישור כזה, מוצגת מודעה שמייצרת הכנסה עבור מי שיצר את כתובת האתר המקוצרת. הבעיה היא שחלק משירותי קיצור הקישורים הללו משתמשים בטכניקות פרסום פוגעניות, כמו תוכנות מזויפות שאומרות למשתמשים שהמכשירים שלהם נגועים בתוכנות זדוניות מסוכנות. "

צוות המחקר של ESET זיהה אירועים שנוצרו על ידי שירותי קיצור קישורים השולחים אירועים ליומני iOS ומפעילים את תוכנת התוכנה הזדונית Android / FakeAdBlocker הניתנת להפעלה במכשירי Android. בנוסף להציף המשתמשים במודעות לא רצויות במכשירי iOS, קישורים אלה יכולים להוריד אוטומטית קובץ לוח שנה ICS וליצור אירועים ביומני הקורבנות.

משתמשים מרומים

סטפנקו המשיך: "הוא יוצר 10 אירועים המתרחשים מדי יום, ונמשכים 18 דקות כל אחד. שמותיהם ותיאוריהם יוצרים את הרושם כי הטלפון של הקורבן נגוע, כי נתוני הקורבן נחשפו ברשת וכי פג תוקפו של יישום האנטי-וירוס. תיאורי הפעילויות כוללים קישור המכוון את הקורבן לבקר באתר תוכנות הפרסום המזויפות. אתר זה שוב טוען כי המכשיר נגוע ומציע למשתמש אפשרות להוריד אפליקציות נקיות יותר מ- Google Play. "

המצב מסוכן עוד יותר עבור קורבנות המשתמשים במכשירי אנדרואיד; מכיוון שאתרים רמאים אלה עלולים להוביל להורדות אפליקציות זדוניות מחוץ לחנות Google Play. בתרחיש אחד, האתר מבקש להוריד אפליקציה בשם "adBLOCK", שלא קשורה כלל לנהוג משפטי ועושה את ההפך מחסימת מודעות. בתרחיש אחר, כאשר הקורבנות ממשיכים להוריד את הקובץ המבוקש, מופיע דף אינטרנט עם שלבים להורדה והתקנה של היישום הזדוני שנקרא "הקובץ שלך מוכן להורדה". בשני התרחישים, תוכנות פרסום מזויפות או סוס טרויאני של Android / FakeAdBlocker נשלחים באמצעות שירות קיצור כתובות האתרים.