Sinuri ng Koponan ng Pananaliksik ng ESET ang Android / FakeAdBlocker, isang agresibong banta batay sa ad na nag-download ng malware. Inaabuso ng Android / FakeAdBlocker ang mga serbisyo ng pagpapaikling URL at mga kalendaryo ng iOS. Namamahagi ito ng mga trojan sa mga Android device.
Karaniwang itinatago ng Android / FakeAdBlocker ang icon ng launcher pagkatapos ng unang paglunsad. Nag-aalok ito ng mga hindi kanais-nais na pekeng ad o pang-nasa hustong gulang na ad. Lumilikha ito ng mga kaganapan sa spam sa mga darating na buwan sa mga kalendaryo ng iOS at Android. Ang mga ad na ito ay madalas na nagiging sanhi ng pagkawala ng pera ng mga biktima sa pamamagitan ng pagpapadala ng mga bayad na mensahe sa SMS, pag-subscribe sa mga hindi kinakailangang serbisyo, o pag-download ng mga trojan ng Android banking, mga trojan ng SMS at nakakahamak na mga app. Bilang karagdagan, gumagamit ng malware ang mga serbisyo ng pagpapaikling URL upang makabuo ng mga link sa ad. Nawawalan ng pera ang mga gumagamit kapag nag-click sa mga nabuong mga link sa URL.
Batay sa telemetry ng ESET, unang nakita ang Android / FakeAdBlocker noong Setyembre 2019. Sa pagitan ng Enero 1 at Hulyo 1, 2021, higit sa 150.000 mga pagkakataon ng pagbabanta na ito ang na-download sa mga Android device. Kabilang sa mga pinaka apektadong bansa ang Ukraine, Kazakhstan, Russia, Vietnam, India, Mexico at Estados Unidos. Habang ang malware ay nagpapakita ng mga nakakasakit na ad sa maraming mga pagkakataon, nakita din ng ESET ang daan-daang mga kaso kung saan nai-download at naisagawa ang iba't ibang malware; Kasama rito ang Cerberus trojan, na lumilitaw na Chrome, Update sa Android, Adobe Flash Player o Update Android at na-download sa mga aparato sa Turkey, Poland, Spain, Greece at Italy. Natukoy din ng ESET na ang Ginp trojan ay na-download sa Greece at sa Gitnang Silangan.
Mag-ingat kung saan ka mag-download ng mga app
Ang ESET Mananaliksik na si Lukáš Štefanko, na sumuri sa Android / FakeAdBlocker, ay nagpaliwanag: "Batay sa aming telemetry, maraming mga gumagamit ang may posibilidad na mag-download ng mga Android app mula sa mga mapagkukunan bukod sa Google Play. Ito naman ay maaaring humantong sa pagkalat ng nakakahamak na software sa pamamagitan ng agresibong mga kasanayan sa advertising na ginamit ng mga may-akda upang makabuo ng kita. " Nagbibigay ng puna tungkol sa pagkakita ng mga pinaikling link ng URL, nagpatuloy si Lukáš Štefanko: "Kapag may nag-click sa naturang link, ipapakita ang isang ad na makakabuo ng kita para sa taong lumikha ng pinaikling URL. Ang problema ay ang ilan sa mga serbisyong pagpapaikli ng link na ito na gumagamit ng nakakasakit na mga diskarte sa advertising, tulad ng pekeng software na nagsasabi sa mga gumagamit ng kanilang mga aparato na nahawahan ng mapanganib na malware. "
Ang ESET Research Team ay nakakita ng mga kaganapan na nabuo sa pamamagitan ng pagpapaikli ng mga serbisyo na nagpapadala ng mga kaganapan sa mga kalendaryo ng iOS at buhayin ang malware na Android / FakeAdBlocker na maaaring mailunsad sa mga Android device. Bilang karagdagan sa pagbaha sa gumagamit ng mga hindi gustong ad sa mga iOS device, ang mga link na ito ay maaaring awtomatikong mag-download ng isang file ng kalendaryo ng ICS at lumikha ng mga kaganapan sa mga kalendaryo ng mga biktima.
Ang mga gumagamit ay niloko
Nagpatuloy si Štefanko: "Lumilikha siya ng 10 mga kaganapan na nagaganap araw-araw, na tumatagal ng 18 minuto bawat isa. Ang kanilang mga pangalan at paglalarawan ay lumilikha ng impression na ang telepono ng biktima ay nahawahan, na ang data ng biktima ay nakalantad sa online, at na ang application ng antivirus ay nag-expire na. Ang mga paglalarawan ng mga kaganapan ay naglalaman ng isang link na nagdidirekta sa biktima upang bisitahin ang pekeng website ng adware. Muli, sinasabing ang website na ang aparato ay nahawahan at nag-aalok sa gumagamit ng pagpipiliang mag-download ng mas malinis na mga app mula sa Google Play. "
Ang sitwasyon ay mas mapanganib para sa mga biktima na gumagamit ng mga Android device; sapagkat ang mga mapanlinlang na website na ito ay maaaring humantong sa nakakahamak na mga pag-download ng app mula sa labas ng Google Play store. Sa isang senaryo, humihiling ang website ng isang app na tinawag na "adBLOCK" na mai-download, na walang kinalaman sa ligal na kasanayan at kabaligtaran ng pag-block ng mga ad. Sa isa pang senaryo, kapag nagpatuloy ang mga biktima sa pag-download ng hiniling na file, lilitaw ang isang web page na may mga hakbang upang i-download at mai-install ang nakakahamak na application na tinawag na "Ang Iyong File Ay Handa Na Mag-download". Sa parehong mga sitwasyon, ang pekeng adware o Android / FakeAdBlocker trojan ay ipinapadala sa pamamagitan ng serbisyo sa pagpapaikli ng URL.
Maging una sa komento