Instalki.pl » Aktualności » Bezpieczeństwo » Masz smartfon z Androidem? Uważaj na Android/FakeAdBlocker
Czwartek, 22 Lipiec 2021 09:54, Wpisany przez Mateusz Ponikowski
2021-07-22 100503
Użytkownicy smartfonów zagrożeni.

Cyberprzestępcy stosują coraz bardziej wyrafinowane psychologicznie techniki ukrywania złośliwych treści. Na przykład fałszywe oprogramowanie zabezpieczające (scareware) wykorzystuje narzędzia socjotechniki do stworzenia wrażenia zagrożenia dla ofiary, tak by nakłonić ją do pożądanego zachowania.

Specjaliści ds. cyberbezpieczeństwa z firmy ESET przeanalizowali coraz powszechniejsze zagrożenie tego typu pod nazwą Android/FakeAdBlocker. Wykorzystuje ono usługi skracania adresów URL i udostępnianie wygenerowanych w ten sposób linków do pobrania złośliwego oprogramowania. Konsekwencje takiego zachowania mogą być bardzo poważne, włącznie z przejęciem dostępu do konta bankowego ofiary. Przypadki instalacji bankowego trojana Cerberus zostały zanotowane także w Polsce.

Jak działa Android/FakeAdBlocker?


Badania telemetryczne przeprowadzone przez badaczy ESET pokazały, że od 1 stycznia do 1 lipca 2021 r. na urządzenia z systemem Android niebezpieczna aplikacja sklasyfikowana jako Android/FakeAdBlocker została pobrana ponad 150 000 razy. Złośliwe oprogramowanie wykorzystuje narzędzia skracania adresów URL. Tego typu narzędzia pozwalają na uzyskanie krótkiego adresu URL, na przykład z użyciem bit.ly, który ukrywa oryginalne nazwy domen. W kolejnym kroku, linki te są rozsyłane za pomocą wiadomości tekstowych lub są udostępniane w komentarzach w mediach społecznościowych (np. na Facebooku lub Instagramie), na stronach internetowych czy w ramach aplikacji zainstalowanych na urządzeniach.

Po kliknięciu w taki link na urządzeniu ofiary jest instalowane złośliwe oprogramowanie, które pobiera z serwera C&C kontrolowanego przez oszustów i uruchamia dodatkowe szkodliwe programy, takie jak trojany bankowe, trojany SMS, i agresywne oprogramowanie reklamowe, tzw. adware.

Po pierwszym uruchomieniu Android/FakeAdBlocker jego ikona zostaje ukryta, a na ekranie zainfekowanego urządzenia rozpoczyna się wyświetlanie niechcianych reklam mających wywołać strach i poczucie zagrożenia (scareware). W konsekwencji kontaktu ze złośliwym oprogramowaniem i fałszywymi komunikatami na temat bezpieczeństwa, ofiara może odnieść wrażenie, że jej urządzenie jest zainfekowane wirusem, a reklama nakazuje użytkownikowi pobieranie określonych aplikacji ze sklepu Google Play lub spoza oficjalnego sklepu Google.

Oprócz tego oferuje udział w podejrzanych ankietach, dostarczanie treści dla dorosłych, rozpoczęcie subskrypcji płatnych usług SMS premium, składanie wątpliwych ofert wygrania nagród czy tworzenie w kalendarzach, także dla systemu iOS, fałszywych wydarzeń informujących o nieistniejących zagrożeniach. Dodatkowo złośliwe oprogramowanie wykorzystuje usługi skracania adresów URL do tworzenia linków do reklam, które w niektórych przypadkach zarabiają na swoich kliknięciach.

2021-07-22 100631

Zagrożenie dla klientów bankowości elektronicznej


Największym zagrożeniem jest jednak możliwość zainstalowania w urządzeniu z systemem Android złośliwego trojana bankowego Cerberus. Specjaliści ESET zidentyfikowali setki przypadków, w których Cerberus został pobrany poprzez instalację fałszywej aplikacji imitującej inną pełnoprawną aplikację, na przykład Chrome, Android Update, Adobe Flash Player czy Update Android. Takie przypadki miały miejsce głównie w Polsce, Turcji, Hiszpanii, Grecji i we Włoszech.

Od kalendarza w iOS do trojana na Androida


W przypadku urządzeń z systemem iOS, specjaliści ESET zidentyfikowali usługi skracania adresów URL, które zalewają ofiary niechcianymi reklamami i przesyłają zdarzenia do kalendarzy, a także rozpowszechniają linki, które następnie mogą być uruchomione na urządzeniach z systemem Android. Adresy te mogą tworzyć wydarzenia w kalendarzach ofiar, automatycznie pobierając plik kalendarza ICS. Android/FakeAdBlocker tworzy 18 wydarzeń w każdym dniu, z których każde ma długość 10 minut. Ich nazwy i opisy sugerują, że smartfon ofiary jest zainfekowany, dane ofiary są ujawnione w Internecie lub aplikacja antywirusowa wygasła. Opisy każdego zdarzenia zawierają link, który prowadzi ofiarę do odwiedzenia witryny z reklamami typu scareware. Ta strona ponownie twierdzi, że urządzenie zostało zainfekowane i oferuje użytkownikowi opcję pobrania podejrzanych aplikacji z Google Play, które mają rzekomo usunąć problem. W jednym z kolejnych kroków witryna żąda pobrania aplikacji o nazwie „adBLOCK”, która nie ma nic wspólnego z legalną aplikacją o tej samej nazwie, a w rzeczywistości działa odwrotnie niż blokowanie reklam.

Gdy ofiary przystąpią do pobierania żądanego pliku, zostanie im wyświetlona strona internetowa opisująca kolejne kroki w celu pobrania i zainstalowania złośliwej aplikacji o nazwie „Your File Is Ready To Download.apk.”. W obu scenariuszach reklama typu scareware lub trojan Android/FakeAdBlocker jest dostarczana za pośrednictwem usługi skracania adresów URL.

Jak pozbyć się Android/FakeAdBlocker?


Aby zidentyfikować i usunąć Android/FakeAdBlocker, w tym jego dynamicznie ładowany komponent adware, należy przejść do sekcji Ustawienia/Aplikacje i powiadomienia i wyszukać go wśród zainstalowanych aplikacji. Ponieważ złośliwe oprogramowanie nie ma ikony ani nazwy aplikacji jest ono łatwe do znalezienia. Po zlokalizowaniu aplikacji należy kliknąć w nią jeden raz, następnie dotknąć przycisku Odinstaluj, a na koniec potwierdzić żądanie usunięcia oprogramowania.

Źródło: ESET / foto. Canva Pro