Аналіз цифрової безпеки ESET виявив, що засоби скорочення URL-адрес використовуються, щоб підштовхнути користувачів до встановлення шкідливих програм, банківських троянів і шкідливих програм для Android та iOS. Служби використовуються для приховування сторінок, які визначають, який пристрій має доступ, і таким чином спрямовують на іншу сторінку.
На практиці програми скорочення не обов’язково шкідливі, оскільки їх можна використовувати для вставки показників доступу до важливих сторінок або монетизації кліків. Однак саме завдяки монетизації кліків законні сторінки можуть привести користувачів до доступу до рекламної кампанії, яка, у свою чергу, катапультує користувачів на сайти зловмисного програмного забезпечення.
І ось тут ця кампанія працює. THE Телеметрія ESET виявили, що з січня до початку липня майже 150,000 XNUMX пристроїв були заражені шкідливим програмним забезпеченням Android/FakeAdBlocker, яке кіберзлочинці використовують у рекламі. Шортенери отримують частину вартості від рекламодавців за клік і кажуть, що не несуть відповідальності за вміст реклами.
Аналіз ESET зазначив, що тактика та зловмисне програмне забезпечення, які розповсюджуються програмами скорочення URL-адрес, відрізняються залежно від пристрою. Така сама реклама може змусити користувача завантажити банківський троян на Android, а на iOS – імпортувати шкідливий файл календаря ICS.
Страшна тактика штовхає нічого не підозрюючих
Кампанія використовує одну з найвідоміших точок входу для зловмисного програмного забезпечення: рекламу страшних програм. Це та реклама, яка намагається викликати паніку в користувача, попереджаючи про те, що «ваш пристрій заражено», а потім спонукає користувача завантажити нібито антивірус — який, насправді, є шкідливим програмним забезпеченням.
Така ж тактика, як і інша сумнівна реклама, наприклад, призи за мільярдного відвідувача, сайти, де красиві російські дівчата шукають латиноамериканських коханців, контент для дорослих, ігри та інші наживки.
На iOS страшне програмне забезпечення домінує в календарі з вісімнадцятьма «попередженнями» про зловмисне програмне забезпечення
У разі успіху кампанія скорочення URL-адрес не змушує жертву встановлювати зловмисне програмне забезпечення на iOS, а створює календар ICS із вісімнадцятьма подіями. З десятихвилинними зустрічами він повністю заражає календар, подіями з іншими скороченими посиланнями, які також призводять до появи страшних програм і зловмисної реклами.
У цьому сценарії, окрім незручностей, пов’язаних із тим, що щоденник стає непридатним для використання та заповнюється сміттям, кіберзлочинці отримують вигоду двома способами. По-перше, скеровуючи жертву на більше реклами, монетизуючи її перегляди. По-друге, перенаправляючи їх на інші шкідливі посилання, піддаючи їх ризику встановлення шкідливих сценаріїв і програм.
На Android кампанія завантажує зловмисне програмне забезпечення
Користувачі Android піддаються більшому ризику через цю кампанію. Це пов’язано з тим, що цілі Android у засобах скорочення URL-адрес у кінцевому підсумку піддаються впливу широкого спектру зловмисних програм, відкриваючи пристрій для інші файли APK і шкідливі програми, чутливі до місця розташування жертви.
Згідно з ESET, є два сценарії для жертв цих посилань на Android. Перший – коли жертва бажає завантажити програму за межами Play Store. Сайт починає запитувати у користувача сповіщення та запитує завантаження «adBLOCK app.apk», що свідчить про те, що це класичний плагін антиреклами.
Другий сценарій: та сама кнопка завантаження переносить користувача на іншу сторінку, де показано покроковий посібник із завантаження. Натиснувши для завантаження, жертва отримує файл під назвою «Ваш файл готовий до завантаження.apk», який накладається на файл.
Однак результат обох випадків однаковий: фальшивий файл призводить до порожнього додатка, який під час відкриття декодує файл, який безпосередньо завантажує все, що хочуть надіслати кіберзлочинці. ESET це виявила надіслано шкідливе програмне забезпечення та віруси змінюються залежно від місця розташування потерпілого. Банківські трояни, такі як Cerberus, були завантажені на смартфони в Європі, замінивши такі програми, як Google Chrome, а Ginp і SMS трояни були виявлені на Близькому Сході.
Недостатньо, вона йде тим самим шляхом, що й iOS, запитуючи у користувача авторизації та заражаючи Google Календар кількома сповіщеннями, усі з шкідливими посиланнями.
Видалення зловмисного програмного забезпечення просте, але може викликати головний біль
Жертви цієї кампанії зловмисного програмного забезпечення скорочення URL-адрес можуть легко видалити програму. Він відображається разом із усіма іншими програмами, встановленими на Android, на вкладці налаштувань. Однак, якщо кіберзлочинці заразили пристрій іншими вірусами, це можливо більше очищення при необхідності.
Однак, якщо календар забруднений, користувачеві доведеться очистити всі події вручну. Хоча є Додаток для Android Щоб мати можливість очистити попередні події, заплановані на наступні дні, на жаль, все одно доведеться видаляти одну за одною.
Зображення: Solar Seven/iStock.com