Опасная угроза атакует украинских пользователей Android и iOS
Об этом информирует UAINFO.org.
После нажатия на рекламные объявления жертвы часто теряют деньги, отправляя SMS по повышенному тарифу, подписываясь на ненужные услуги или загружая банковские трояны, SMS-трояны и другие вредоносные программы. Для создания ссылок на рекламу угроза использует сервисы для сокращения URL-адресов.
По данным телеметрии ESET, угроза впервые обнаружена в сентябре 2019 года, а с января по июль 2021 года на устройства Android было загружено более 150 000 ее образцов. Больше всего жертв зафиксировано в таких странах, как Украина, Казахстан, Россия, Вьетнам, Индия, Мексика и США.
Страны с наибольшим количеством выявленных образцов Android/FakeAdBlocker (1 января - 1 июня 2021 г.)
Хотя в большинстве случаев Android/FakeAdBlocker показывает опасную рекламу, компания ESET обнаружила сотни случаев загрузки и запуска различных вредоносных программ, в том числе и банковского трояна Cerberus. Этот троян маскировался под Chrome, Android Update, Adobe Flash Player или Update Android и загружался на устройства пользователей из Турции, Польши, Испании, Греции и Италии. Кроме этого, исследователи ESET зафиксировали загрузку трояна Ginp на устройства в Греции и на Ближнем Востоке.
"По данным телеметрии ESET, многие пользователи загружают приложения для Android с сторонних магазинов, а не с Google Play. В таком случае риск загрузки вредоносных программ, особенно при переходе по рекламным объявлениям, очень высокий", - объясняет Лукаш Стефанко, исследователь компании ESET.
Исследователи ESET обнаружили, что c помощью сервисов для сокращения URL-ссылок злоумышленники добавляют события в календарь iOS и распространяют угрозу Android/FakeAdBlocker, которая запускается на устройствах Android. На смартфонах iOS, кроме отображения нежелательной рекламы, эти ссылки могут создавать события в календарях путем автоматической загрузки файла календаря ICS.
"Угроза создает 18 событий, которые происходят ежедневно и длятся по 10 минут каждая", - комментирует Лукаш Стефанко. - В их именах и описаниях указано, что смартфон заражен, данные жертвы доступны в Интернете или срок действия программы по безопасности закончился. В описании каждого события есть ссылка, по которой жертва переходит на сайт с опасной рекламой. Этот сайт снова утверждает, что устройство было заражено, и предлагает пользователю загрузить приложение с Google Play для очистки".
Тогда как пользователям Android эти мошеннические сайты могут предлагать загрузить вредоносное приложение из посторонних магазинов. В одном из сценариев сайт запрашивает загрузку программы под названием "adBLOCK", которая не имеет ничего общего с легитимным приложением и не блокирует рекламу. В другом случае, когда жертвы загружают файл, отображается страница с текстом "Ваш файл готов к загрузке" и шагами относительно загрузки и установки вредоносного приложения. В обоих сценариях реклама или троян Android/FakeAdBlocker распространяются с помощью сервисов для сокращения URL-ссылок.
Чтобы не стать жертвой этой угрозы, специалисты ESET рекомендуют пользователям:
не предоставлять доступ к календарю на неизвестных сайтах;
загружать приложения для Android только из официального магазина Google Play;
сразу закрывать сайты, которые перенаправляют на разные страницы и открывают много вкладок одновременно;
не предоставлять разрешение неизвестным сайтам на отправку уведомлений в браузере;
не вводить конфиденциальные данные в формы для участия в розыгрышах призов.
