Ілюстрація REUTERS

Компанія ESET - лідер у галузі інформаційної безпеки - повідомила про виявлення шкідливого програмного забезпечення Android/FakeAdBlocker, яке відображає небажану рекламу та створює спам-події у календарях iOS та Android. Крім цього, загроза може завантажувати інші шкідливі компоненти. 

Після натискання на ці рекламні оголошення жертви часто втрачають гроші, надсилаючи SMS за підвищеним тарифом, підписуючись на непотрібні послуги або завантажуючи банківські трояни, SMS-трояни та інші шкідливі програми. Для створення посилань на рекламу загроза використовує сервіси для скорочення URL-адрес.

За даними телеметрії ESET, загроза вперше виявлена у вересні 2019 року, а з січня по липень 2021 року на пристрої Android було завантажено понад 150 000 її зразків. Найбільше жертв зафіксовано у таких країнах, як Україна, Казахстан, Росія, В'єтнам, Індія, Мексика та США. 

Країни з найбільшою кількістю виявлених зразків Android/FakeAdBlocker (1 січня - 1 червня 2021 р.)

Хоча в більшості випадків Android/FakeAdBlocker показує небезпечну рекламу, компанія ESET виявила сотні випадків завантаження та запуску різних шкідливих програм, зокрема і банківського трояна Cerberus. Цей троян маскувався під Chrome, Android Update, Adobe Flash Player або Update Android та завантажувався на пристрої користувачів із Туреччини, Польщі, Іспанії, Греції та Італії. Крім цього, дослідники ESET зафіксували завантаження трояна Ginp на пристрої у Греції та на Близькому Сході.

"За даними телеметрії ESET, багато користувачів завантажують додатки для Android з сторонніх магазинів, а не з Google Play. У такому випадку ризик завантаження шкідливих програм, особливо за умови переходу за рекламними оголошеннями, дуже високий", - пояснює Лукаш Стефанко, дослідник компанії ESET. 

Дослідники ESET виявили, що за допомогою сервісів для скорочення URL-посилань зловмисники додають події у календар iOS та поширюють загрозу Android/FakeAdBlocker, яка запускається на пристроях Android. На смартфонах iOS, крім відображення небажаної реклами, ці посилання можуть створювати події у календарях шляхом автоматичного завантаження файлу календаря ICS.

"Загроза створює 18 подій, які відбуваються щодня та тривають по 10 хвилин кожна", -  коментує Лукаш Стефанко. - У їхніх іменах та описах вказано, що смартфон інфікований, дані жертви доступні в Інтернеті або термін дії програми з безпеки закінчився. В описі кожної події є посилання, за яким жертва переходить на сайт з небезпечною рекламою. Цей сайт знову стверджує, що пристрій було інфіковано, і пропонує користувачу завантажити додаток з Google Play для очищення".

Тоді як користувачам Android ці шахрайські сайти можуть пропонувати завантажити шкідливий додаток зі сторонніх магазинів. В одному зі сценаріїв сайт надсилає запит на завантаження програми під назвою "adBLOCK", яка не має нічого спільного з легітимним додатком і не блокує рекламу. В іншому випадку, коли жертви завантажують файл, відображається сторінка з текстом "Ваш файл готовий до завантаження" з кроками щодо завантаження та встановлення шкідливого додатку. В обох сценаріях реклама або троян Android/FakeAdBlocker поширюється за допомогою сервісів для скорочення URL-посилань. 

Щоб не стати жертвою цієї загрози, спеціалісти ESET рекомендують користувачам:

  • не надавати доступ до календаря на невідомих сайтах;
  • завантажувати додатки для Android тільки з офіційного магазину Google Play;
  • одразу закривати сайти, які перенаправляють на різні сторінки та відкривають багато вкладок одночасно;
  • не надавати дозвіл невідомим сайтам на надсилання сповіщень у браузері;
  • не вводити конфіденційні дані у форми для участі у розіграшах призів. 

Більш детальна інформація про загрозу Android/FakeAdBlocker доступна за посиланням.

Читайте також: 

Як забезпечити надійний захист смартфона - поради спеціалістів

Шкідливий чи безпечний сайт: як перевірити та на що звертати увагу

Інтернет-безпека телефона: як запобігти інфікуванню пристроїв