ESET сообщает: Android / FakeAdBlocker неправильно использует службы сокращения URL-адресов и календари iOS, а также распространяет трояны на устройства Android.
ESET сообщает: Android / FakeAdBlocker неправильно использует службы сокращения URL-адресов и календари iOS, а также распространяет трояны на устройства Android.
БРАТИСЛАВА, КОШИЦЕ - 20 июля 2021 г. - ESET Research проанализировала агрессивную рекламную угрозу - Android / FakeAdBlocker - которая загружает вредоносные полезные данные, предоставляемые сервером управления и контроля своего оператора. Android / FakeAdBlocker обычно скрывает свой значок запуска после первоначального запуска, доставляет нежелательные пугающие программы или рекламные объявления для взрослых, а также создает события спама на ближайшие месяцы в календарях iOS и Android. Эти рекламные объявления часто стоят денег их жертвам, отправляя SMS-сообщения с повышенным тарифом, подписываясь на ненужные услуги или загружая Android-троянские программы, SMS-трояны и вредоносные приложения. Кроме того, вредоносная программа использует службы сокращения URL-адресов для создания ссылок на рекламу, которые в некоторых случаях монетизируют их клики.
По данным телеметрии ESET, Android / FakeAdBlocker был впервые обнаружен в сентябре 2019 года, а с 1 января по 1 июля 2021 года на устройства Android было загружено более 150 000 экземпляров этой угрозы. Наиболее пострадавшие страны - Украина, Казахстан, Россия, Вьетнам, Индия, Мексика и США. Хотя в большинстве случаев вредоносная программа показывает агрессивную рекламу, ESET выявила сотни случаев загрузки и выполнения различных вредоносных программ, в том числе банковского трояна Cerberus, который по-разному маскировался под Chrome, Android Update, Adobe Flash Player или Update Android, и загружены на устройства в Турции, Польше, Испании, Греции и Италии. ESET также видел, как троян Ginp загружался в Греции и на Ближнем Востоке.
«Судя по нашей телеметрии, многие пользователи склонны загружать приложения для Android из-за пределов Google Play, что может побудить их загружать вредоносные приложения, доставляемые с помощью агрессивных рекламных методов, которые используются для получения доходов их авторов», - объясняет исследователь ESET Лукаш Штефанко , который проанализировал Android / FakeAdBlocker. Комментируя монетизацию сокращенных URL-ссылок, Штефанко добавляет:«Когда кто-то нажимает на такую ссылку, отображается реклама, которая будет приносить доход человеку, создавшему сокращенный URL. Проблема в том, что некоторые из этих сервисов сокращения ссылок используют агрессивные рекламные методы, такие как рекламные объявления, информирующие пользователей о том, что их устройства заражены опасным вредоносным ПО ».
ESET Research обнаружила, что службы сокращения ссылок отправляют события в календари iOS и распространяют вредоносное ПО Android / FakeAdBlocker, которое можно запускать на устройствах Android. На устройствах iOS, помимо наводнения жертв нежелательной рекламой, эти ссылки могут создавать события в календарях жертв путем автоматической загрузки файла календаря ICS.
«Он создает 18 событий, происходящих каждый день, каждое из которых длится 10 минут», - говорит Штефанко. «Их имена и описания предполагают, что смартфон жертвы заражен, данные жертвы доступны в Интернете или срок действия приложения защиты от вирусов истек. Описание каждого события включает ссылку, по которой жертва переходит на сайт с рекламой пугающего ПО. Этот веб-сайт снова утверждает, что устройство было заражено, и предлагает пользователю возможность загрузить теневые приложения для очистки из Google Play ».
Для жертв, использующих устройства Android, ситуация более опасна, потому что эти мошеннические веб-сайты могут предоставлять вредоносное приложение для загрузки из-за пределов магазина Google Play. В одном из сценариев веб-сайт запрашивает загрузку приложения под названием «adBLOCK», которое не имеет ничего общего с легитимным приложением и действительно действует противоположно блокировке рекламы. В другом сценарии, когда жертвы приступают к загрузке запрошенного файла, им отображается веб-страница с описанием шагов по загрузке и установке вредоносного приложения с именем «Ваш файл готов к загрузке». В обоих сценариях реклама пугающего ПО или троян Android / FakeAdBlocker доставляется через службу сокращения URL-адресов.
Телеметрия обнаружения ESET для Android / FakeAdBlocker
Топ-10 стран с обнаружениями Android / FakeAdBlocker (1 января 2021 г. - 1 июня 2021 г.)
Чтобы получить дополнительные технические сведения и узнать, как удалить Android / FakeAdBlocker, прочтите сообщение в блоге «Некоторые службы сокращения URL-адресов распространяют вредоносное ПО для Android, включая банковские трояны или SMS-трояны» на сайте WeLiveSecurity. Обязательно следите за обновлениями ESET Research в Твиттере, чтобы быть в курсе последних новостей ESET Research.
Среди основных обновлений – изменения службы уведомлений, Telegram-бота, VPN, Xauth, а также отказ от службы «Веб-фильтр SkyDNS» и соответствующих категорий и стандартного набора правил
«МойОфис» и «СёрчИнформ» подтвердили совместимость своих продуктов: решения для совместной работы и хранения документов «МойОфис Документы Онлайн» и DLP-системы для защиты от утечек информации «СёрчИнформ КИБ»
«Группа Астра» объявляет о выходе службы каталога ALD Pro 2.5.0. Этот релиз содержит несколько десятков дополнений и улучшений, благодаря которым продукт стал еще более безопасным, надежным, производительным и удобным в использовании
Компания «Киберпротект» представила обновление Кибер Протего. Начиная с версии 10.5, в российской DLP-системе существенно расширены возможности для Linux-инфраструктур, добавлены новые контролируемые каналы передачи данных, функции контроля рабочего времени
Версия 1.9.14 является развитием редакции 1.9 «1С:Библиотека электронных документов 8», которая предназначена для обеспечения обмена электронными документами в прикладных решениях, разработанных на платформе «1С:Предприятие» версии 8.3.24.1548 и выше
Решение для интеллектуального корпоративного поиска Content AI Intelligent Search, cерверное решение для распознавания и конвертации документов ContentReader® Server и многофункциональный OCR SDK для разработчиков ContentReader® Engine получили официальный статус продуктов с признаками искусственного интеллекта. Это подтвердила экспертиза, проводимая специалистами Минцифры РФ
Deckhouse Kubernetes Platform (DKP) от компании «Флант» достигла значимого показателя – к началу 2025 года количество кластеров под управлением платформы превысило 1000, охватывая широкий спектр отраслей: ретейл, промышленность, банкинг, финтех, сырьевые компании, госструктуры, ИТ, медицину, образование, логистику и СМИ. Большой проектный опыт позволил разработчику занять лидирующие позиции по контрибуциям в Kubernetes среди российских компаний и стать отраслевым технологическим стандартом.
Ваши контактные данные не публикуются на сайте.