ESET Research: Android / FakeAdBlocker misbruikt URL-verkortingsservices en iOS-agenda’s en verspreidt Trojaanse paarden op Android-apparaten
Android / FakeAdBlocker verbergt meestal het opstartpictogram na de eerste lancering, geeft ongewenste advertenties of inhoud voor volwassenen weer en creëert voor de komende maanden spamgevents in iOS- en Android-agenda’s. Deze advertenties zijn vaak niet gratis, worden als premium sms-berichten naar hun slachtoffers verzonden en misleiden hen om zich te abonneren op onnodige services of Android banking-trojans, sms-trojans en om kwaadaardige apps te downloaden. Bovendien gebruikt de malware URL-verkortingsservices om linken te creëren naar advertenties die in sommige gevallen inkomsten genereren door het klikken.
Volgens de ESET-telemetrie werd Android / FakeAdBlocker voor het eerst in september 2019 opgemerkt. Van 1 januari tot 1 juli 2021 zijn er meer dan 150.000 voorbeelden van deze dreiging gedownload op Android-apparaten. De meest getroffen landen zijn de Verenigde Staten, Mexico, Oekraïne, Rusland, Vietnam, India en Kazachstan. Hoewel de malware meestal agressieve advertenties laat zien, heeft ESET honderde gevallen geïdentificeerd waarin verschillende kwaadaardige payloads gedownload en uitgevoerd werden, waaronder de Cerberus banking-trojan, vermomd als Chrome, Android.Update, Adobe Flash Player of Android Update, en gedownload op apparaten in Turkije, Polen, Spanje, Griekenland en Italië. ESET zag ook dat de Ginp Trojan gedownload werd in Griekenland en het Midden-Oosten.
“Volgens onze telemetrie ziet het ernaar uit dat veel gebruikers de neiging hebben om Android-apps buiten Google Play te downloaden, waardoor ze schadelijke apps kunnen downloaden geleverd door agressieve advertentiepraktijken die gebruikt worden om inkomsten te genereren voor hun auteurs”, zegt Lukáš Štefanko, de ESET-onderzoeker die Android / FakeAdBlocker analyseerde. In een commentaar op het genereren van inkomsten met verkorte URL-links, vervolgt Stefanko: “Als iemand op zo’n link klikt, verschijnt een advertentie die inkomsten genereert voor de persoon die de verkorte URL heeft gegenereerd. En sommige van deze diensten gebruiken agressieve advertentietechnieken zoals scareware om gebruikers te informeren dat hun apparaten met gevaarlijke malware geïnfecteerd zijn. “
ESET Research identificeerde services voor het verkorten van links die events naar iOS-agenda’s sturen en Android/FakeAdBlocker-malware verspreiden die kan gestart worden op Android-apparaten. Op iOS-apparaten kunnen deze links niet alleen slachtoffers overspoelen met ongewenste advertenties, maar ook events in slachtofferkalenders aanmaken door automatisch een ICS-agendabestand te downloaden. “Dit creëert, per dag, 18 events van telkens 10 minuten”, verduidelijkt Štefanko. “Hun namen en beschrijvingen suggereren dat de smartphone van het slachtoffer geïnfecteerd is, dat zijn gegevens online staan of dat een antivirusbeschermingsapp vervallen is. De beschrijving van elk event bevat een link die het slachtoffer naar een scareware-site leidt. Deze site bevestigt dat het apparaat geïnfecteerd is en biedt de gebruiker de mogelijkheid om verdachte reinigingsapps van Google Play te downloaden. “
Voor slachtoffers die Android-apparaten gebruiken, is de situatie gevaarlijker omdat deze oplichtingssites een schadelijke app kunnen aanbieden om buiten de Google Play Store te downloaden. In één geval vraagt de site om de app “adBLOCK” te downloaden, die niets te maken heeft met de legitieme app en helemaal geen advertenties blokkeert. In een ander geval, als slachtoffers doorgaan met het downloaden van het gevraagde bestand, beschrijft een webpagina de stappen voor het downloaden en installeren van een kwaadaardige app met de naam ” Your File Is Ready To Download “ (Uw bestand is klaar om te downloaden).
In beide gevallen wordt een Android / FakeAdBlocker scareware-advertentie of een Trojaan geleverd via een URL-verkortingsservice.
Voor meer technische details en hoe men Android / FakeAdBlocker kan verwijderen, lees de blog “Some URL shortener services distribute Android malware, including banking or SMS trojans” op www.welivesecurity.
Dit artikel is geschreven door één van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.