Uma análise de segurança digital da ESET descobriu que encurtadores de URL estão sendo utilizados para empurrar os usuários a instalar malware, trojans bancários e apps maliciosos para Android e iOS. Os serviços são utilizados para ocultar páginas que detectam qual dispositivo está acessando e, assim, direcionar para uma página diferente.

Na prática, os encurtadores não são necessariamente nocivos, já que podem ser usados para inserir métricas de acesso a páginas importantes ou monetizar cliques. Porém, é na monetização de cliques que páginas legítimas podem levar os usuários a acessar uma campanha de propaganda que, por sua vez, catapulta o usuário para os sites de malware.

E é aí que esta campanha age. A telemetria da ESET detectou que, de janeiro até o começo de julho, quase 150,000 dispositivos foram infectados com o malware Android/FakeAdBlocker, utilizado pelos cibercriminosos na propaganda. Os encurtadores recebem uma parte do valor dos anunciantes, pagos por clique, e dizem não serem responsáveis pelo conteúdo dos anúncios.

A análise da ESET notou que as táticas e malware espalhados pelos encurtadores de URL variam conforme o dispositivo. A mesma propaganda pode levar o usuário a baixar um trojan bancário no Android e, no iOS, importar um arquivo de calendário ICS malicioso. 

Tática de scareware empurra os desavisados 

A campanha utiliza uma das mais conhecidas portas de entrada para malware: propagandas scareware. São aqueles anúncios que tentam criar pânico no usuário ao avisar, “seu dispositivo está infectado”, e depois empurram o usuário para baixar o suposto anti-vírus — que, na verdade, é um malware.

A tática é a mesma que empurra outros anúncios duvidosos, como prêmios para o bilionésimo visitante, sites onde lindas garotas russas procuram amantes latinos, conteúdo adulto, jogos e outros caça-cliques.

No iOS, scareware d0mina calendário com dezoito “avisos” de malware

Quando bem-sucedido, a campanha com os encurtadores de URL não levam a vítima a instalar malware no iOS, mas sim um calendário ICS com dezoito eventos. Com marcações de dez minutos, ele infecta completamente a agenda, com eventos com outros links encurtados que também levam a mais scareware e propagandas maliciosas.

Neste cenário, além do inconveniente de inutilizar a agenda e lotá-la de lixo, os cibercriminosos se beneficiam de duas maneiras. A primeira é direcionando a vítima para mais propagandas, monetizando suas visualizações. A segunda é levando elas a outros links mal-intencionados, colocando-a sob risco de instalar scripts e apps nocivos.

No Android, campanha é carregamento de malware

Já os usuários de Android correm mais risco diante desta campanha. Isso porque os alvos de Android nos encurtadores de URL acabam expostos a uma maior variedade de malwares, abrindo o dispositivo para outros APKs e programas maliciosos, sensíveis à localização da vítima.

Segundo a ESET, existem dois cenários para as vítimas destes links no Android. O primeiro é quando a vítima se dispõe a baixar um aplicativo fora da Play Store. O site começa a pedir notificações para o usuário e solicita o download do “adBLOCK app.apk”, o que dá a entender que se trata do clássico plugin anti-anúncios.

O segundo cenário é quando o mesmo botão de download leva o usuário a outra página, que mostra um passo a passo para download. Quando clica para baixar, a vítima recebe um arquivo chamado “Your File is Ready To Download.apk”, e se sobrepõe ao arquivo.

No entanto, o resultado de ambos é o mesmo: o arquivo falso resulta em um app em branco que, ao abrir, decodifica um arquivo que baixa diretamente o que os cibercriminosos quiserem enviar. A ESET descobriu que os malwares e vírus enviados variam conforme a localização da vítima. Trojans bancários, como o Cerberus foram baixados em smartphones da Europa, ocupando o lugar de apps como o Google Chrome, enquanto o Ginp e trojans de SMS foram detectados no Oriente Médio.

Não o bastante, ele termina seguindo a mesma rota do iOS, pedindo autorizações para o usuário e contaminando o Google Calendar com diversas notificações, todas com links nocivos.

Remoção de malware é simples, mas pode dar dor de cabeça

As vítimas desta campanha de malware por encurtador de URLs podem excluir o aplicativo com facilidade. Ele aparece listado junto a todos os outros apps instalados no Android, na aba de configurações. No entanto, se os cibercriminosos contaminaram o dispositivo com outros vírus, é possível que uma limpeza maior se faça necessária.

Porém, caso a agenda esteja contaminada, o usuário terá que limpar todos os eventos manualmente. Embora exista um app para Android que dê conta de limpar eventos prévios, aqueles agendados para os dias seguintes, infelizmente, ainda terão de ser removidos um por um.

Imagem: Solar Seven/iStock.com