Nhóm nghiên cứu ESET đã phân tích Android / FakeAdBlocker, một mối đe dọa dựa trên quảng cáo tích cực tải xuống phần mềm độc hại. Android / FakeAdBlocker lạm dụng các dịch vụ rút ngắn URL và lịch iOS. Nó phân phối trojan cho các thiết bị Android.
Android / FakeAdBlocker thường ẩn biểu tượng trình khởi chạy sau lần khởi chạy đầu tiên. Nó cung cấp ứng dụng giả mạo không mong muốn hoặc quảng cáo nội dung người lớn. Nó tạo ra các sự kiện spam trong những tháng tới trên lịch iOS và Android. Những quảng cáo này thường khiến nạn nhân mất tiền bằng cách gửi tin nhắn SMS trả phí, đăng ký các dịch vụ không cần thiết hoặc tải xuống các trojan ngân hàng Android, trojan SMS và các ứng dụng độc hại. Ngoài ra, phần mềm độc hại sử dụng các dịch vụ rút ngắn URL để tạo liên kết quảng cáo. Người dùng mất tiền khi nhấp vào các liên kết URL được tạo.
Dựa trên phép đo từ xa của ESET, Android / FakeAdBlocker được phát hiện lần đầu tiên vào tháng 2019 năm 1. Từ ngày 1 tháng 2021 đến ngày 150.000 tháng XNUMX năm XNUMX, hơn XNUMX trường hợp của mối đe dọa này đã được tải xuống các thiết bị Android. Các quốc gia bị ảnh hưởng nhiều nhất bao gồm Ukraine, Kazakhstan, Nga, Việt Nam, Ấn Độ, Mexico và Hoa Kỳ. Trong khi phần mềm độc hại hiển thị quảng cáo gây khó chịu trong nhiều trường hợp, ESET cũng phát hiện hàng trăm trường hợp phần mềm độc hại khác nhau được tải xuống và thực thi; Chúng bao gồm trojan Cerberus, có vẻ là Chrome, Android Update, Adobe Flash Player hoặc Update Android và được tải xuống các thiết bị ở Thổ Nhĩ Kỳ, Ba Lan, Tây Ban Nha, Hy Lạp và Ý. ESET cũng đã xác định rằng trojan Ginp đã được tải xuống ở Hy Lạp và Trung Đông.
Hãy cẩn thận nơi bạn tải xuống ứng dụng
Lukáš Štefanko, nhà nghiên cứu của ESET, người đã phân tích Android/FakeAdBlocker, giải thích: “Dựa trên phép đo từ xa của chúng tôi, nhiều người dùng có xu hướng tải xuống ứng dụng Android từ các nguồn khác ngoài Google Play. Đổi lại, điều này có thể dẫn đến sự lây lan của các tác giả của phần mềm độc hại thông qua các hoạt động quảng cáo xúc phạm được sử dụng để tạo doanh thu.” Nhận xét về khả năng kiếm tiền từ các liên kết URL rút gọn, Lukáš Štefanko tiếp tục: “Khi ai đó nhấp vào liên kết như vậy, một quảng cáo sẽ hiển thị để tạo doanh thu cho người tạo URL rút gọn. Vấn đề là một số dịch vụ rút gọn liên kết này sử dụng các kỹ thuật quảng cáo gây khó chịu, chẳng hạn như phần mềm giả mạo cho người dùng biết thiết bị của họ bị nhiễm phần mềm độc hại nguy hiểm.”
Nhóm nghiên cứu ESET đã phát hiện các sự kiện được tạo ra bởi các dịch vụ rút gọn liên kết gửi sự kiện đến lịch iOS và kích hoạt phần mềm độc hại Android / FakeAdBlocker có thể được khởi chạy trên thiết bị Android. Ngoài việc làm ngập người dùng với các quảng cáo không mong muốn trên thiết bị iOS, các liên kết này có thể tự động tải xuống tệp lịch ICS và tạo sự kiện trên lịch của nạn nhân.
Người dùng bị lừa
Štefanko tiếp tục: “Anh ấy tạo ra 10 sự kiện diễn ra hàng ngày, mỗi sự kiện kéo dài 18 phút. Tên và mô tả của họ tạo ra ấn tượng rằng điện thoại của nạn nhân bị nhiễm, dữ liệu của nạn nhân đã bị lộ trực tuyến và ứng dụng chống vi-rút đã hết hạn. Các mô tả của các hoạt động bao gồm một liên kết hướng nạn nhân truy cập trang web phần mềm quảng cáo giả mạo. Trang web đó lại tuyên bố rằng thiết bị bị nhiễm virus và cung cấp cho người dùng tùy chọn tải xuống các ứng dụng được cho là sạch hơn từ Google Play ”.
Tình hình còn nguy hiểm hơn đối với những nạn nhân sử dụng thiết bị Android; vì những trang web gian lận này có thể dẫn đến tải xuống ứng dụng độc hại từ bên ngoài cửa hàng Google Play. Trong một tình huống, trang web yêu cầu tải xuống ứng dụng có tên “adBLOCK”, ứng dụng này không liên quan gì đến hoạt động pháp lý và ngược lại với việc chặn quảng cáo. Trong một tình huống khác, khi nạn nhân tiến hành tải xuống tệp được yêu cầu, một trang web xuất hiện với các bước để tải xuống và cài đặt ứng dụng độc hại có tên “Tệp của bạn đã sẵn sàng để tải xuống”. Trong cả hai trường hợp, phần mềm quảng cáo giả mạo hoặc trojan Android / FakeAdBlocker đang được gửi qua dịch vụ rút ngắn URL.
Hãy là người đầu tiên nhận xét