ESET 研究团队分析了 Android/FakeAdBlocker,这是一种基于广告的攻击性威胁,可下载恶意软件。 Android/FakeAdBlocker 滥用 URL 缩短服务和 iOS 日历。 它将木马分发到 Android 设备。
Android/FakeAdBlocker 通常会在首次启动后隐藏启动器图标。 它提供不需要的虚假应用程序或成人内容广告。 它会在未来几个月的 iOS 和 Android 日历中生成垃圾邮件事件。 这些广告通常会导致受害者通过发送付费短信、订阅不必要的服务或下载 Android 银行木马、短信木马和恶意应用程序而蒙受损失。 此外,该恶意软件还使用 URL 缩短服务来创建广告链接。 当生成的 URL 链接被点击时,用户就会损失金钱。
根据 ESET 遥测,Android/FakeAdBlocker 于 2019 年 1 月首次检测到。 1 年 2021 月 150.000 日至 XNUMX 月 XNUMX 日期间,Android 设备上下载了超过 XNUMX 个此类威胁实例。 受影响最严重的国家包括乌克兰、哈萨克斯坦、俄罗斯、越南、印度、墨西哥和美国。 尽管该恶意软件在许多情况下都会显示攻击性广告,但 ESET 还检测到数百个下载并执行不同恶意软件的案例; 其中包括 Cerberus 木马,它伪装成 Chrome、Android Update、Adobe Flash Player 或 Android Update,并被下载到土耳其、波兰、西班牙、希腊和意大利的设备上。 ESET 还确定 Ginp 木马是在希腊和中东下载的。
请小心下载应用程序的位置
分析 Android/FakeAdBlocker 的 ESET 研究员 Lukáš Štefanko 解释道:“根据我们的遥测数据,许多用户倾向于从 Google Play 以外的来源下载 Android 应用程序。 “这可能会导致恶意软件作者通过用于创收的激进广告行为来传播它。” 在评论短网址链接货币化时,Lukáš Štefanko 继续说道:“当有人点击这样的链接时,就会显示一个广告,这使得短网址的创建者能够赚取收入。 “问题在于,其中一些链接缩短服务使用侵入性广告技术,例如欺骗用户说他们的设备感染了危险和恶意软件的虚假软件。”
ESET 研究团队检测到链接缩短服务生成的事件,这些服务将事件发送到 iOS 日历并激活可在 Android 设备上启动的 Android/FakeAdBlocker 恶意软件。 除了在 iOS 设备上向用户发送大量不需要的广告之外,这些链接还可以通过自动下载 ICS 日历文件在受害者的日历中创建事件。
用户被欺骗
Štefanko 继续说道:“它每天都会举办 10 个活动,每个活动持续 18 分钟。 他们的名字和描述给人的印象是受害者的手机已被感染,受害者的数据已在网上曝光,并且防病毒应用程序已过期。 事件的描述包括一个链接,引导受害者访问虚假广告软件网站。 该网站再次声称该设备已被感染,并为用户提供从 Google Play 下载据称更干净的应用程序的选项。”
对于使用 Android 设备的受害者来说,情况更加危险; 因为这些欺诈网站可能会导致从 Google Play 商店之外下载恶意应用程序。 在一种情况下,该网站要求下载一款名为“adBLOCK”的应用程序,该应用程序与法律实践毫无关系,并且与拦截广告完全相反。 在另一种情况下,当受害者继续下载所请求的文件时,会出现一个网页,其中包含下载和安装名为“您的文件已准备好下载”的恶意应用程序的步骤。 在这两种情况下,虚假广告软件或 Android/FakeAdBlocker 木马都是通过 URL 缩短服务传递的。
成为第一个发表评论的人