Das ESET-Forschungsteam analysierte Android/FakeAdBlocker, eine aggressive werbebasierte Bedrohung, die Malware herunterlädt. Android/FakeAdBlocker missbraucht URL-Shortener-Dienste und iOS-Kalender. Es verteilt Trojaner auf Android-Geräte.
Android/FakeAdBlocker blendet normalerweise das Launcher-Symbol nach dem ersten Start aus. Es bietet unerwünschte gefälschte Apps oder Anzeigen mit Inhalten für Erwachsene. Es erstellt in den kommenden Monaten Spam-Ereignisse in iOS- und Android-Kalendern. Diese Anzeigen führen oft dazu, dass Opfer Geld verlieren, indem sie kostenpflichtige SMS-Nachrichten senden, unnötige Dienste abonnieren oder Android-Banking-Trojaner, SMS-Trojaner und bösartige Apps herunterladen. Darüber hinaus verwendet die Malware URL-Shortener-Dienste, um Anzeigenlinks zu generieren. Benutzer verlieren Geld, wenn sie auf die generierten URL-Links klicken.
Basierend auf der ESET-Telemetrie wurde Android/FakeAdBlocker erstmals im September 2019 erkannt. Zwischen dem 1. Januar und dem 1. Juli 2021 wurden mehr als 150.000 Instanzen dieser Bedrohung auf Android-Geräte heruntergeladen. Zu den am stärksten betroffenen Ländern gehören die Ukraine, Kasachstan, Russland, Vietnam, Indien, Mexiko und die USA. Während die Malware in vielen Fällen anstößige Werbung zeigte, entdeckte ESET auch Hunderte von Fällen, in denen verschiedene Malware heruntergeladen und ausgeführt wurde. Dazu gehören der Cerberus-Trojaner, der Chrome, Android Update, Adobe Flash Player oder Update Android zu sein scheint und auf Geräte in der Türkei, Polen, Spanien, Griechenland und Italien heruntergeladen wird. ESET hat auch festgestellt, dass der Ginp-Trojaner in Griechenland und im Nahen Osten heruntergeladen wurde.
Seien Sie vorsichtig, wo Sie Apps herunterladen
ESET-Forscher Lukáš Štefanko, der Android/FakeAdBlocker analysiert hat, erklärte: „Basierend auf unserer Telemetrie neigen viele Benutzer dazu, Android-Apps von anderen Quellen als Google Play herunterzuladen.“ Dies wiederum kann zur Verbreitung schädlicher Software durch aggressive Werbepraktiken führen, mit denen Autoren Einnahmen generieren.“ Lukáš Štefanko kommentierte die Monetarisierung verkürzter URL-Links wie folgt: „Wenn jemand auf einen solchen Link klickt, wird eine Anzeige angezeigt, die Einnahmen für die Person generiert, die die verkürzte URL erstellt hat.“ Das Problem besteht darin, dass einige dieser Linkverkürzungsdienste anstößige Werbetechniken verwenden, beispielsweise gefälschte Software, die Benutzern mitteilt, dass ihre Geräte mit gefährlicher Malware infiziert sind.“
Das ESET-Forschungsteam hat Ereignisse entdeckt, die von Linkverkürzungsdiensten generiert wurden, die Ereignisse an iOS-Kalender senden und die Malware Android/FakeAdBlocker aktivieren, die auf Android-Geräten gestartet werden kann. Diese Links überfluten den Benutzer nicht nur mit unerwünschten Anzeigen auf iOS-Geräten, sondern können auch automatisch eine ICS-Kalenderdatei herunterladen und Ereignisse in den Kalendern der Opfer erstellen.
Benutzer werden betrogen
Štefanko fuhr fort: „Er erstellt 10 Veranstaltungen, die jeden Tag stattfinden und jeweils 18 Minuten dauern. Ihre Namen und Beschreibungen erwecken den Eindruck, dass das Telefon des Opfers infiziert ist, die Daten des Opfers online preisgegeben wurden und die Antivirenanwendung abgelaufen ist. Die Beschreibungen der Aktivitäten enthalten einen Link, der das Opfer zum Besuch der gefälschten Adware-Website leitet. Diese Website behauptet erneut, dass das Gerät infiziert ist, und bietet dem Benutzer die Möglichkeit, vermeintlich saubere Apps von Google Play herunterzuladen.“
Noch gefährlicher ist die Situation für Opfer, die Android-Geräte verwenden. da diese betrügerischen Websites zu böswilligen App-Downloads von außerhalb des Google Play Stores führen können. In einem Szenario fordert die Website zum Download einer App namens „adBLOCK“ auf, die nichts mit der Rechtspraxis zu tun hat und das Gegenteil der Werbeblockierung bewirkt. In einem anderen Szenario, wenn Opfer mit dem Herunterladen der angeforderten Datei fortfahren, wird eine Webseite mit Schritten zum Herunterladen und Installieren der bösartigen Anwendung namens „Your File Is Ready to Download“ angezeigt. In beiden Szenarien wird gefälschte Adware oder Android/FakeAdBlocker-Trojaner über den URL-Kürzungsdienst gesendet.
Schreiben Sie den ersten Kommentar