Українських користувачів Android і iOS атакує небезпечна загроза

Компанія ESET - лідер в області інформаційної безпеки - повідомила про виявлення шкідливого програмного забезпечення Android / FakeAdBlocker, яке відображає небажану рекламу і створює спам-події в календарях iOS і Android. Крім цього, загроза може завантажувати інші шкідливі компоненти.

Після натискання на рекламні оголошення жертви часто втрачають гроші, відправляючи SMS за підвищеним тарифом, підписуючись на непотрібні послуги або завантажуючи банківські трояни, SMS-трояни та інші шкідливі програми. Для створення посилань на рекламу загроза використовує сервіси для скорочення URL-адрес.

За даними телеметрії ESET, загроза вперше виявлена у вересні 2019 року, а з січня по липень 2021 року на пристрої Android було завантажено понад 150 000 її зразків. Найбільше жертв зафіксовано в таких країнах, як Україна, Казахстан, Росія, В'єтнам, Індія, Мексика і США.

Країни з найбільшою кількістю виявлених зразків Android / FakeAdBlocker (1 січня - 1 червня 2021 р.)

Хоча в більшості випадків Android / FakeAdBlocker показує небезпечну рекламу, компанія ESET виявила сотні випадків завантаження і запуску різних шкідливих програм, в тому числі і банківського трояна Cerberus.

Цей троян маскувався під Chrome, Android Update, Adobe Flash Player або Update Android і завантажувався на пристрої користувачів з Туреччини, Польщі, Іспанії, Греції та Італії. Крім цього, дослідники ESET зафіксували завантаження трояна Ginp на пристрої в Греції і на Близькому Сході.

"За даними телеметрії ESET, багато користувачів завантажують додатки для Android з сторонніх магазинів, а не з Google Play. У такому випадку ризик завантаження шкідливих програм, особливо при переході по рекламних оголошеннях, дуже високий", - пояснює Лукаш Стефанко, дослідник компанії ESET.

Дослідники ESET виявили, що за допомогою сервісів для скорочення URL-посилань зловмисники додають події в календар iOS і поширюють загрозу Android/FakeAdBlocker, яка запускається на пристроях Android. На смартфонах iOS, крім відображення небажаної реклами, ці посилання можуть створювати події в календарях шляхом автоматичного завантаження файлу календаря ICS.

"Загроза створює 18 подій, які відбуваються щодня і тривають по 10 хвилин кожна", - коментує Лукаш Стефанко. - В їх іменах і описах зазначено, що смартфон заражений, дані жертви доступні в інтернеті або термін дії програми з безпеки закінчився. В описі кожної події є посилання, по якій жертва переходить на сайт з небезпечною рекламою. Цей сайт знову стверджує, що пристрій був заражений, і пропонує користувачеві завантажити додаток з Google Play для очищення".

Тоді як користувачам Android ці шахрайські сайти можуть пропонувати завантажити шкідливий додаток зі сторонніх магазинів. В одному зі сценаріїв сайт запитує завантаження програми під назвою "adBLOCK", яка не має нічого спільного з легітимним додатком і не блокує рекламу.

В іншому випадку, коли жертви завантажують файл, відображається сторінка з текстом "ваш файл готовий до завантаження" і кроками щодо завантаження і установки шкідливого додатка. В обох сценаріях реклама або троян Android / FakeAdBlocker поширюються за допомогою сервісів для скорочення URL-посилань.

Щоб не стати жертвою цієї загрози, фахівці ESET рекомендують користувачам:

• не надавати доступ до календаря на невідомих сайтах;
• завантажувати додатки для Android тільки з офіційного магазину Google Play;
• відразу закривати сайти, які перенаправляють на різні сторінки і відкривають багато вкладок одночасно;
• не надавати дозвіл невідомим сайтам на відправку повідомлень в браузері;
• не вводити конфіденційні дані у форми для участі в розіграшах призів.

Більш детальна інформація про загрозу Android / FakeAdBlocker доступна за посиланням.

Наші стандарти: Редакційна політика сайту Главред