Masz smartfon z Androidem? Uważaj na Android/FakeAdBlocker
2021-07-23 09:16
Masz smartfon z Androidem? Uważaj na Android/FakeAdBlocker © pixabay.com
Eksperci ds. cyberbezpieczeństwa z firmy ESET ostrzegają posiadaczy smartfonów z systemem Android przed coraz powszechniejszym zagrożeniem - Android/FakeAdBlocker. Jak działa Android/FakeAdBlocker? Jak zapobiegać infekcji tym złośliwym oprogramowaniem?
Przeczytaj także: Smartfony z Androidem w niebezpieczeństwie. Wzrost zagrożeń o 33%
Android/FakeAdBlocker wykorzystuje usługi skracania adresów URL i udostępnianie wygenerowanych w ten sposób linków do pobrania złośliwego oprogramowania. Konsekwencje takiego zachowania mogą być bardzo poważne, włącznie z przejęciem dostępu do konta bankowego ofiary. Przypadki instalacji bankowego trojana Cerberus zostały zanotowane także w Polsce.Jak działa Android/FakeAdBlocker?
Badania telemetryczne przeprowadzone przez badaczy ESET pokazały, że od 1 stycznia do 1 lipca 2021 r. na urządzenia z systemem Android niebezpieczna aplikacja sklasyfikowana jako Android/FakeAdBlocker została pobrana ponad 150 000 razy. Złośliwe oprogramowanie wykorzystuje narzędzia skracania adresów URL. Tego typu narzędzia pozwalają na uzyskanie krótkiego adresu URL, na przykład: https://bit.ly/3xUKnib, który ukrywa oryginalne nazwy domen. W kolejnym kroku, linki te są rozsyłane za pomocą wiadomości tekstowych lub są udostępniane w komentarzach w mediach społecznościowych (np. na Facebooku lub Instagramie), na stronach internetowych czy w ramach aplikacji zainstalowanych na urządzeniach. Po kliknięciu w taki link na urządzeniu ofiary jest instalowane złośliwe oprogramowanie, które pobiera z serwera C&C kontrolowanego przez oszustów i uruchamia dodatkowe szkodliwe programy, takie jak trojany bankowe, trojany SMS, i agresywne oprogramowanie reklamowe, tzw. adware.
Po pierwszym uruchomieniu Android/FakeAdBlocker jego ikona zostaje ukryta, a na ekranie zainfekowanego urządzenia rozpoczyna się wyświetlanie niechcianych reklam mających wywołać strach i poczucie zagrożenia (scareware). W konsekwencji kontaktu ze złośliwym oprogramowaniem i fałszywymi komunikatami na temat bezpieczeństwa, ofiara może odnieść wrażenie, że jej urządzenie jest zainfekowane wirusem, a reklama nakazuje użytkownikowi pobieranie określonych aplikacji ze sklepu Google Play lub spoza oficjalnego sklepu Google. Oprócz tego oferuje udział w podejrzanych ankietach, dostarczanie treści dla dorosłych, rozpoczęcie subskrypcji płatnych usług SMS premium, składanie wątpliwych ofert wygrania nagród czy tworzenie w kalendarzach, także dla systemu iOS, fałszywych wydarzeń informujących o nieistniejących zagrożeniach. Dodatkowo złośliwe oprogramowanie wykorzystuje usługi skracania adresów URL do tworzenia linków do reklam, które w niektórych przypadkach zarabiają na swoich kliknięciach.
fot. mat. prasowe
Przykłady podejrzanych agresywnych reklam
Opisy każdego zdarzenia zawierają link, który prowadzi ofiarę do odwiedzenia witryny z reklamami typu scareware.
Realne zagrożenie dla klientów banków
Największym zagrożeniem jest jednak możliwość zainstalowania w urządzeniu z systemem Android złośliwego trojana bankowego Cerberus. Specjaliści ESET zidentyfikowali setki przypadków, w których Cerberus został pobrany poprzez instalację fałszywej aplikacji imitującej inną pełnoprawną aplikację, na przykład Chrome, Android Update, Adobe Flash Player czy Update Android. Takie przypadki miały miejsce głównie w Polsce, Turcji, Hiszpanii, Grecji i we Włoszech.
Cerberus wykrada przede wszystkim dane logowania do bankowości internetowej i aplikacji społecznościowych. W tym celu wyświetla użytkownikowi tzw. overlay, który na ekranie urządzenia „przykrywa” pełnoprawną aplikację uruchomioną na urządzeniu, wyłudzając dane logowania od użytkownika. Użytkownik może być przekonany, że wpisuje dane w pełnoprawnej aplikacji, podczas gdy przekazuje je wprost w ręce przestępców – wyjaśnia Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET. – Cerberus potrafi również przechwytywać wiadomości SMS z kodami jednorazowymi służącymi do autoryzacji przelewów lub logowania do danej usługi w przypadku włączonego dwuskładnikowego uwierzytelniania. Obie funkcjonalności razem (wyłudzanie danych logowania i przechwytywanie kodów jednorazowych) umożliwiają przestępcom przejęcie pełnego dostępu do konta użytkownika, a w przypadku konta bankowego wyprowadzanie pieniędzy – dodaje.
Od kalendarza w iOS do trojana na Androida
W przypadku urządzeń z systemem iOS, specjaliści ESET zidentyfikowali usługi skracania adresów URL, które zalewają ofiary niechcianymi reklamami i przesyłają zdarzenia do kalendarzy, a także rozpowszechniają linki, które następnie mogą być uruchomione na urządzeniach z systemem Android. Adresy te mogą tworzyć wydarzenia w kalendarzach ofiar, automatycznie pobierając plik kalendarza ICS.
fot. mat. prasowe
Prośba o zasubskrybowanie wydarzeń kalendarza na platformach iOS
W przypadku urządzeń z systemem iOS, specjaliści ESET zidentyfikowali usługi skracania adresów URL, które zalewają ofiary niechcianymi reklamami i przesyłają zdarzenia do kalendarzy, a także rozpowszechniają linki, które następnie mogą być uruchomione na urządzeniach z systemem Android.
Android/FakeAdBlocker tworzy 18 wydarzeń w każdym dniu, z których każde ma długość 10 minut. Ich nazwy i opisy sugerują, że smartfon ofiary jest zainfekowany, dane ofiary są ujawnione w Internecie lub aplikacja antywirusowa wygasła. Opisy każdego zdarzenia zawierają link, który prowadzi ofiarę do odwiedzenia witryny z reklamami typu scareware. Ta strona ponownie twierdzi, że urządzenie zostało zainfekowane i oferuje użytkownikowi opcję pobrania podejrzanych aplikacji z Google Play, które mają rzekomo usunąć problem. W jednym z kolejnych kroków witryna żąda pobrania aplikacji o nazwie „adBLOCK”, która nie ma nic wspólnego z legalną aplikacją o tej samej nazwie, a w rzeczywistości działa odwrotnie niż blokowanie reklam. Gdy ofiary przystąpią do pobierania żądanego pliku, zostanie im wyświetlona strona internetowa opisująca kolejne kroki w celu pobrania i zainstalowania złośliwej aplikacji o nazwie „Your File Is Ready To Download.apk.”. W obu scenariuszach reklama typu scareware lub trojan Android/FakeAdBlocker jest dostarczana za pośrednictwem usługi skracania adresów URL.
Proces odinstalowywania Android/FakeAdBlocker
Aby zidentyfikować i usunąć Android/FakeAdBlocker, w tym jego dynamicznie ładowany komponent adware, należy przejść do sekcji Ustawienia/Aplikacje i powiadomienia i wyszukać go wśród zainstalowanych aplikacji. Ponieważ złośliwe oprogramowanie nie ma ikony ani nazwy aplikacji jest ono łatwe do znalezienia. Po zlokalizowaniu aplikacji należy kliknąć w nią jeden raz, następnie dotknąć przycisku Odinstaluj, a na koniec potwierdzić żądanie usunięcia oprogramowania.
fot. mat. prasowe
Ikona Android/FakeAdBlocker
Android/FakeAdBlocker wykorzystuje usługi skracania adresów URL i udostępnianie wygenerowanych w ten sposób linków do pobrania złośliwego oprogramowania.
Jak zapobiegać infekcji złośliwym oprogramowaniem
Aby uchronić się przed instalacją Android/FakeAdBlocker i trojana bankowego należy przestrzegać kilku podstawowych zasad:
- Korzystanie z mechanizmu systemu Android, który nie pozwala na instalację aplikacji pochodzących spoza oficjalnych sklepów – oprogramowanie powinno być pobierane tylko i wyłącznie z Google Play.
- Zachowanie czujności i ostrożności w trakcie pobierania aplikacji, w tym weryfikacja uprawnień i dostępów, których żąda instalowane oprogramowanie.
- Powstrzymanie się przed klikaniem w adresy w wiadomościach tekstowych, szczególnie w przypadku jakichkolwiek wątpliwości odnośnie do ich nadawcy czy treści.
- Zwrócenie szczególnej uwagi na aplikacje, które wymagają dostępu do wiadomości użytkownika.
Przeczytaj także:
![Flubot zagraża smartfonom z Androidem]( "Flubot zagraża smartfonom z Androidem")
Flubot zagraża smartfonom z Androidem
Flubot zagraża smartfonom z Androidem
oprac. : eGospodarka.pl
Więcej na ten temat:
smartfon z Androidem, Android, system android, Android/FakeAdBlocker, trojany, trojany bankowe, ataki hakerów, złośliwe oprogramowanie, adware, scareware
Przeczytaj także
-
![TOP 10 zagrożeń na Androida]( "TOP 10 zagrożeń na Androida [© neo tam z Pixabay]")
TOP 10 zagrożeń na Androida
-
![Mniej ataków hakerskich na polskie firmy. Nanocore zdetronizował Emotet]( "Mniej ataków hakerskich na polskie firmy. Nanocore zdetronizował Emotet")
Mniej ataków hakerskich na polskie firmy. Nanocore zdetronizował Emotet
-
![Emotet największym cyberzagrożeniem w Polsce, a Formbook na świecie]( "Emotet największym cyberzagrożeniem w Polsce, a Formbook na świecie [© R.Studio - Fotolia.com]")
Emotet największym cyberzagrożeniem w Polsce, a Formbook na świecie
-
![Wciąż czekamy na zmierzch Qbota]( "Wciąż czekamy na zmierzch Qbota [© Artur Marciniec - Fotolia.com]")
Wciąż czekamy na zmierzch Qbota
-
![Złośliwe oprogramowanie Qakbot unieszkodliwione, ale na radość za wcześnie?]( "Złośliwe oprogramowanie Qakbot unieszkodliwione, ale na radość za wcześnie? [© Brian Jackson - Fotolia.com]")
Złośliwe oprogramowanie Qakbot unieszkodliwione, ale na radość za wcześnie?
-
![AgentTesla najpopularniejszym typem szkodliwego oprogramowania w IV 2023]( "AgentTesla najpopularniejszym typem szkodliwego oprogramowania w IV 2023 [© pixabay.com]")
AgentTesla najpopularniejszym typem szkodliwego oprogramowania w IV 2023
-
![Trojan bankowy Emotet znowu atakuje]( "Trojan bankowy Emotet znowu atakuje")
Trojan bankowy Emotet znowu atakuje
-
![Trojan bankowy Qbot to najpopularniejszy malware stycznia 2023]( "Trojan bankowy Qbot to najpopularniejszy malware stycznia 2023")
Trojan bankowy Qbot to najpopularniejszy malware stycznia 2023
-
![Trojan Qbot to nr 1 na świecie, a w Polsce - Emotet]( "Trojan Qbot to nr 1 na świecie, a w Polsce - Emotet")
Trojan Qbot to nr 1 na świecie, a w Polsce - Emotet
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)
![Majówka 2024 może być tańsza [© juli_zmachynskaya z Pixabay]](https://s3.egospodarka.pl/grafika2/majowka/Majowka-2024-moze-byc-tansza-259282-50x33crop.jpg "Majówka 2024 może być tańsza [© juli_zmachynskaya z Pixabay]")
Majówka 2024 może być tańsza
