Το Android/FakeAdBlocker συνήθως κρύβει το εικονίδιο εκκίνησης μετά την πρώτη εκκίνηση. Προσφέρει ανεπιθύμητες πλαστές διαφημίσεις εφαρμογών ή περιεχομένου για ενήλικες. Δημιουργεί ανεπιθύμητα συμβάντα τους επόμενους μήνες σε ημερολόγια iOS και Android. Αυτές οι διαφημίσεις συχνά κάνουν τα θύματα να χάνουν χρήματα στέλνοντας μηνύματα SMS επί πληρωμή, εγγραφώντας σε περιττές υπηρεσίες ή κάνοντας λήψη τραπεζικών τροϊκανών Android, trojans SMS και κακόβουλων εφαρμογών. Επιπλέον, το κακόβουλο λογισμικό χρησιμοποιεί υπηρεσίες συντόμευσης URL για τη δημιουργία συνδέσμων διαφημίσεων. Οι χρήστες χάνουν χρήματα όταν κάνουν κλικ στους συνδέσμους URL που δημιουργούνται.

Με βάση την τηλεμετρία της ESET, το Android/FakeAdBlocker εντοπίστηκε για πρώτη φορά τον Σεπτέμβριο του 2019. Από την 1η Ιανουαρίου έως την 1η Ιουλίου 2021, περισσότερες από 150.000 περιπτώσεις αυτής της απειλής λήφθηκαν σε συσκευές Android. Οι πιο πληγείσες χώρες περιλαμβάνουν την Ουκρανία, το Καζακστάν, τη Ρωσία, το Βιετνάμ, την Ινδία, το Μεξικό και τις Ηνωμένες Πολιτείες. Ενώ το κακόβουλο λογισμικό εμφάνιζε προσβλητικές διαφημίσεις σε πολλές περιπτώσεις, η ESET εντόπισε επίσης εκατοντάδες περιπτώσεις όπου έγινε λήψη και εκτέλεση διαφορετικού κακόβουλου λογισμικού. Αυτά περιλαμβάνουν το trojan Cerberus, το οποίο φαίνεται να είναι Chrome, Android Update, Adobe Flash Player ή Update Android και κατεβάζεται σε συσκευές στην Τουρκία, την Πολωνία, την Ισπανία, την Ελλάδα και την Ιταλία. Η ESET έχει επίσης καθορίσει ότι το trojan Ginp έχει γίνει λήψη στην Ελλάδα και τη Μέση Ανατολή.

Προσέξτε πού κατεβάζετε εφαρμογές

Ο ερευνητής της ESET Lukáš ftefanko, ο οποίος ανέλυσε το Android/FakeAdBlocker, εξήγησε: «Με βάση την τηλεμετρία μας, πολλοί χρήστες τείνουν να κατεβάζουν εφαρμογές Android από πηγές διαφορετικές από το Google Play. Αυτό, με τη σειρά του, μπορεί να οδηγήσει στην εξάπλωση κακόβουλου λογισμικού μέσω επιθετικών πρακτικών διαφήμισης που χρησιμοποιούν οι συγγραφείς για τη δημιουργία εσόδων ». Σχολιάζοντας τη δημιουργία εσόδων από συντομευμένους συνδέσμους URL, ο Lukáš ftefanko συνέχισε: «Όταν κάποιος κάνει κλικ σε έναν τέτοιο σύνδεσμο, εμφανίζεται μια διαφήμιση που παράγει έσοδα για το άτομο που δημιούργησε τη συντομευμένη διεύθυνση URL. Το πρόβλημα είναι ότι ορισμένες από αυτές τις υπηρεσίες συντόμευσης συνδέσμων χρησιμοποιούν προσβλητικές τεχνικές διαφήμισης, όπως ψεύτικο λογισμικό που λέει στους χρήστες ότι οι συσκευές τους έχουν μολυνθεί από επικίνδυνο κακόβουλο λογισμικό. ”

Η ερευνητική ομάδα της ESET εντόπισε συμβάντα που δημιουργήθηκαν από υπηρεσίες συντόμευσης συνδέσμων που στέλνουν συμβάντα σε ημερολόγια iOS και ενεργοποιούν το κακόβουλο λογισμικό Android/FakeAdBlocker που μπορεί να ξεκινήσει σε συσκευές Android. Εκτός από την πλημμύρα του χρήστη με ανεπιθύμητες διαφημίσεις σε συσκευές iOS, αυτοί οι σύνδεσμοι μπορούν να κατεβάσουν αυτόματα ένα αρχείο ημερολογίου ICS και να δημιουργήσουν συμβάντα στα ημερολόγια των θυμάτων.

Οι χρήστες εξαπατούνται

Ο Štefanko συνέχισε: «Δημιουργεί 18 εκδηλώσεις που λαμβάνουν χώρα καθημερινά, διάρκειας 10 λεπτών το καθένα. Τα ονόματα και οι περιγραφές τους δημιουργούν την εντύπωση ότι το τηλέφωνο του θύματος είναι μολυσμένο, ότι τα δεδομένα του θύματος έχουν εκτεθεί στο διαδίκτυο και ότι η εφαρμογή προστασίας από ιούς έχει λήξει. Οι περιγραφές των συμβάντων περιέχουν έναν σύνδεσμο που κατευθύνει το θύμα να επισκεφθεί τον πλαστό ιστότοπο adware. Αυτός ο ιστότοπος ισχυρίζεται ξανά ότι η συσκευή είναι μολυσμένη και προσφέρει στον χρήστη την επιλογή να κατεβάσει υποτιθέμενες καθαρότερες εφαρμογές από το Google Play. ”

Η κατάσταση είναι ακόμη πιο επικίνδυνη για τα θύματα που χρησιμοποιούν συσκευές Android. επειδή αυτοί οι δόλιοι ιστότοποι μπορούν να οδηγήσουν σε κακόβουλες λήψεις εφαρμογών εκτός του καταστήματος Google Play. Σε ένα σενάριο, ο ιστότοπος ζητά τη λήψη μιας εφαρμογής που ονομάζεται “adBLOCK”, η οποία δεν έχει καμία σχέση με τη νομική πρακτική και κάνει το αντίθετο από τον αποκλεισμό διαφημίσεων. Σε ένα άλλο σενάριο, όταν τα θύματα προχωρήσουν στη λήψη του ζητούμενου αρχείου, εμφανίζεται μια ιστοσελίδα με βήματα για τη λήψη και εγκατάσταση της κακόβουλης εφαρμογής που ονομάζεται “Το αρχείο σας είναι έτοιμο για λήψη”. Και στα δύο σενάρια, αποστέλλεται ψεύτικο adware ή trojan Android/FakeAdBlocker μέσω της υπηρεσίας συντόμευσης URL.