Une analyse de sécurité numérique d'ESET a révélé que les raccourcisseurs d'URL sont utilisés pour pousser les utilisateurs à installer des logiciels malveillants, des chevaux de Troie bancaires et des applications malveillantes pour Android et iOS. Les services sont utilisés pour masquer les pages qui détectent à quel appareil accède et ainsi diriger vers une autre page.

En pratique, les raccourcisseurs ne sont pas nécessairement nuisibles, car ils peuvent être utilisés pour insérer des mesures d'accès à des pages importantes ou monétiser des clics. Cependant, c’est dans la monétisation des clics que des pages légitimes peuvent amener les utilisateurs à accéder à une campagne publicitaire qui, à son tour, catapulte l’utilisateur vers des sites malveillants.

Et c'est là que fonctionne cette campagne. LE Télémétrie ESET a détecté que, de janvier à début juillet, près de 150,000 XNUMX appareils ont été infectés par le malware Android/FakeAdBlocker, utilisé par les cybercriminels dans la publicité. Les raccourcisseurs reçoivent une partie de la valeur des annonceurs, payée par clic, et déclarent qu'ils ne sont pas responsables du contenu de l'annonce.

L'analyse d'ESET a révélé que les tactiques et les logiciels malveillants diffusés par les raccourcisseurs d'URL varient selon l'appareil. La même publicité peut amener l’utilisateur à télécharger un cheval de Troie bancaire sur Android et, sur iOS, à importer un fichier de calendrier ICS malveillant. 

La tactique des scarewares repousse les méfiants 

La campagne utilise l’un des points d’entrée les plus connus pour les logiciels malveillants : les publicités effrayantes. Ce sont ces publicités qui tentent de créer la panique chez l'utilisateur en l'avertissant que « votre appareil est infecté », puis en le poussant à télécharger le prétendu antivirus – qui, en fait, est un malware.

La tactique est la même que celle utilisée pour d'autres publicités douteuses, telles que des prix pour le milliardième visiteur, des sites où de belles filles russes recherchent des amoureux du latin, du contenu pour adultes, des jeux et autres appâts à clics.

Sur iOS, les scarewares dominent le calendrier avec dix-huit « avertissements » de malwares

En cas de succès, la campagne de raccourcissement d'URL n'amène pas la victime à installer un malware sur iOS, mais plutôt un calendrier ICS comportant dix-huit événements. Avec des rendez-vous de dix minutes, il infecte complètement le calendrier, avec des événements avec d'autres liens raccourcis qui conduisent également à davantage de logiciels effrayants et de publicités malveillantes.

Dans ce scénario, outre l’inconvénient de rendre l’agenda inutilisable et de le remplir de déchets, les cybercriminels en profitent de deux manières. La première consiste à diriger la victime vers davantage de publicités, monétisant ainsi ses opinions. La seconde consiste à les diriger vers d’autres liens malveillants, ce qui les expose au risque d’installer des scripts et des applications nuisibles.

Sur Android, la campagne charge un malware

Les utilisateurs d'Android sont plus exposés à cette campagne. En effet, les cibles Android dans les raccourcisseurs d'URL finissent par être exposées à une plus grande variété de logiciels malveillants, ouvrant l'appareil à d'autres APK et des programmes malveillants, sensibles à l'emplacement de la victime.

Selon ESET, il existe deux scénarios pour les victimes de ces liens sur Android. La première est lorsque la victime souhaite télécharger une application en dehors du Play Store. Le site commence à demander des notifications à l'utilisateur et demande le téléchargement de « adBLOCK app.apk », ce qui suggère qu'il s'agit du classique plugin anti-publicité.

Le deuxième scénario est celui où le même bouton de téléchargement amène l'utilisateur vers une autre page, qui affiche un guide étape par étape pour télécharger. En cliquant pour télécharger, la victime reçoit un fichier appelé « Votre fichier est prêt à télécharger.apk » et il recouvre le fichier.

Cependant, le résultat des deux est le même : le faux fichier donne naissance à une application vierge qui, une fois ouverte, décode un fichier qui télécharge directement tout ce que les cybercriminels veulent envoyer. ESET a découvert que malwares et virus envoyés varient en fonction de la localisation de la victime. Des chevaux de Troie bancaires tels que Cerberus ont été téléchargés sur des smartphones en Europe, remplaçant des applications comme Google Chrome, tandis que Ginp et Chevaux de Troie SMS ont été détectés au Moyen-Orient.

Pas assez, il finit par suivre le même chemin qu'iOS, en demandant des autorisations à l'utilisateur et en contaminant Google Calendar avec plusieurs notifications, toutes avec des liens nuisibles.

La suppression des logiciels malveillants est simple, mais cela peut être un casse-tête

Les victimes de cette campagne de malware de raccourcissement d'URL peuvent facilement supprimer l'application. Elle apparaît parmi toutes les autres applications installées sur Android, dans l'onglet Paramètres. Toutefois, si des cybercriminels ont contaminé l'appareil avec d'autres virus, il est possible que un meilleur nettoyage si nécessaire.

Cependant, si le calendrier est contaminé, l'utilisateur devra effacer tous les événements manuellement. Bien qu'il existe un Application Android Pour pouvoir effacer les événements précédents, ceux prévus pour les jours suivants devront malheureusement encore être supprimés un par un.

Image : Solar Seven/iStock.com