Il team di ricerca di ESET ha analizzato Android/FakeAdBlocker, una minaccia aggressiva basata sulla pubblicità che scarica malware. Android/FakeAdBlocker abusa dei servizi di abbreviazione degli URL e dei calendari iOS. Distribuisce trojan ai dispositivi Android.
Android/FakeAdBlocker di solito nasconde l'icona di avvio dopo il primo avvio. Offre app false indesiderate o annunci di contenuti per adulti. Crea eventi spam nei prossimi mesi sui calendari iOS e Android. Questi annunci spesso fanno perdere denaro alle vittime inviando messaggi SMS a pagamento, abbonandosi a servizi non necessari o scaricando trojan bancari Android, trojan SMS e app dannose. Inoltre, il malware utilizza i servizi di abbreviazione degli URL per generare collegamenti pubblicitari. Gli utenti perdono denaro quando fanno clic sui collegamenti URL generati.
Sulla base della telemetria ESET, Android/FakeAdBlocker è stato rilevato per la prima volta a settembre 2019. Tra il 1° gennaio e il 1° luglio 2021, sono state scaricate su dispositivi Android più di 150.000 istanze di questa minaccia. I paesi più colpiti includono Ucraina, Kazakistan, Russia, Vietnam, India, Messico e Stati Uniti. Sebbene il malware mostrasse annunci offensivi in molti casi, ESET ha anche rilevato centinaia di casi in cui sono stati scaricati ed eseguiti malware diversi; Questi includono il trojan Cerberus, che sembra essere Chrome, Android Update, Adobe Flash Player o Update Android e viene scaricato su dispositivi in Turchia, Polonia, Spagna, Grecia e Italia. ESET ha anche stabilito che il trojan Ginp è stato scaricato in Grecia e in Medio Oriente.
Fai attenzione a dove scarichi le app
Il ricercatore ESET Lukáš Štefanko, che ha analizzato Android/FakeAdBlocker, ha spiegato: “Sulla base della nostra telemetria, molti utenti tendono a scaricare app Android da fonti diverse da Google Play. Questo, a sua volta, può portare alla diffusione di software dannoso da pratiche pubblicitarie aggressive utilizzate dagli autori per generare entrate". Commentando la monetizzazione dei collegamenti URL abbreviati, Lukáš Štefanko ha continuato: “Quando qualcuno fa clic su un tale collegamento, viene visualizzato un annuncio che genera entrate per la persona che ha creato l'URL abbreviato. Il problema è che alcuni di questi servizi di abbreviazione dei collegamenti utilizzano tecniche pubblicitarie offensive, come software fasullo che informa gli utenti che i loro dispositivi sono infetti da malware pericolosi".
Il team di ricerca di ESET ha rilevato eventi generati da servizi di abbreviazione dei collegamenti che inviano eventi ai calendari iOS e attivano il malware Android/FakeAdBlocker che può essere lanciato sui dispositivi Android. Oltre a inondare l'utente di annunci indesiderati sui dispositivi iOS, questi collegamenti possono scaricare automaticamente un file di calendario ICS e creare eventi sui calendari delle vittime.
Gli utenti sono truffati
Štefanko ha continuato: “Crea 10 eventi che si svolgono ogni giorno, della durata di 18 minuti ciascuno. I loro nomi e le descrizioni creano l'impressione che il telefono della vittima sia infetto, che i dati della vittima siano stati esposti online e che l'applicazione antivirus sia scaduta. Le descrizioni degli eventi contengono un collegamento che indirizza la vittima a visitare il sito Web di adware fasullo. Quel sito web afferma di nuovo che il dispositivo è infetto e offre all'utente la possibilità di scaricare app presumibilmente più pulite da Google Play.
La situazione è ancora più pericolosa per le vittime che utilizzano dispositivi Android; perché questi siti Web fraudolenti possono portare a download di app dannose dall'esterno del Google Play Store. In uno scenario, il sito Web richiede il download di un'app chiamata "adBLOCK", che non ha nulla a che fare con la pratica legale e fa l'opposto del blocco degli annunci. In un altro scenario, quando le vittime procedono a scaricare il file richiesto, viene visualizzata una pagina Web con i passaggi per scaricare e installare l'applicazione dannosa denominata "Il tuo file è pronto per il download". In entrambi gli scenari, viene inviato un falso adware o un trojan Android/FakeAdBlocker tramite il servizio di abbreviazione dell'URL.
Sii il primo a commentare