قام فريق أبحاث ESET بتحليل Android / FakeAdBlocker ، وهو تهديد قوي قائم على الإعلانات يقوم بتنزيل البرامج الضارة. يسيء Android / FakeAdBlocker خدمات تقصير عناوين URL وتقويمات iOS. يقوم بتوزيع أحصنة طروادة على أجهزة Android.
عادةً ما يخفي Android / FakeAdBlocker رمز المشغل بعد الإطلاق الأول. يقدم تطبيقًا مزيفًا غير مرغوب فيه أو إعلانات محتوى للبالغين. ينشئ أحداثًا غير مرغوب فيها في الأشهر المقبلة على تقويمات iOS و Android. غالبًا ما تتسبب هذه الإعلانات في خسارة الضحايا للمال عن طريق إرسال رسائل نصية قصيرة مدفوعة ، أو الاشتراك في خدمات غير ضرورية ، أو تنزيل أحصنة طروادة المصرفية التي تعمل بنظام Android ، وأحصنة طروادة SMS ، والتطبيقات الضارة. بالإضافة إلى ذلك ، تستخدم البرامج الضارة خدمات تقصير عناوين URL لإنشاء روابط إعلانية. يخسر المستخدمون الأموال عند النقر على روابط URL التي تم إنشاؤها.
استنادًا إلى ESET عن بُعد ، تم اكتشاف Android / FakeAdBlocker لأول مرة في سبتمبر 2019. بين 1 كانون الثاني (يناير) و 1 تموز (يوليو) 2021 ، تم تنزيل أكثر من 150.000 ألف حالة من هذا التهديد على أجهزة Android. وتشمل الدول الأكثر تضررا أوكرانيا وكازاخستان وروسيا وفيتنام والهند والمكسيك والولايات المتحدة. بينما عرضت البرامج الضارة إعلانات هجومية في كثير من الحالات ، اكتشفت ESET أيضًا مئات الحالات التي تم فيها تنزيل برامج ضارة مختلفة وتنفيذها ؛ ومن بين هذه البرامج ، Cerberus trojan ، الذي يبدو أنه Chrome أو Android Update أو Adobe Flash Player أو Update Android ويتم تنزيله على أجهزة في تركيا وبولندا وإسبانيا واليونان وإيطاليا. قررت ESET أيضًا أنه تم تنزيل Ginp trojan في اليونان والشرق الأوسط.
كن حذرًا عند تنزيل التطبيقات
أوضح الباحث في ESET Lukáš Štefanko ، الذي حلل Android / FakeAdBlocker: "بناءً على القياس عن بُعد لدينا ، يميل العديد من المستخدمين إلى تنزيل تطبيقات Android من مصادر أخرى غير Google Play. وهذا بدوره يمكن أن يؤدي إلى انتشار مؤلفي البرامج الضارة من خلال ممارسات الإعلان المسيئة المستخدمة لتوليد الإيرادات ". وتعليقًا على تحقيق الدخل من روابط URL المختصرة ، تابع Lukáš Štefanko: "عندما ينقر شخص ما على مثل هذا الرابط ، يتم عرض إعلان يولد إيرادات للشخص الذي أنشأ عنوان URL المختصر. تكمن المشكلة في أن بعض خدمات تقصير الروابط هذه تستخدم تقنيات إعلانية مسيئة ، مثل البرامج المزيفة التي تخبر المستخدمين أن أجهزتهم مصابة ببرامج ضارة خطيرة ".
اكتشف فريق أبحاث ESET أحداثًا تم إنشاؤها بواسطة خدمات تقصير الروابط التي ترسل الأحداث إلى تقويمات iOS وتنشط البرامج الضارة Android / FakeAdBlocker التي يمكن إطلاقها على أجهزة Android. بالإضافة إلى إغراق المستخدم بالإعلانات غير المرغوب فيها على أجهزة iOS ، يمكن لهذه الروابط تنزيل ملف تقويم ICS تلقائيًا وإنشاء أحداث على تقاويم الضحايا.
يتعرض المستخدمون للغش
وتابع أوتيفانكو: "إنه ينشئ 10 حدثًا يقام كل يوم ، مدة كل منها 18 دقائق. أسماؤهم وأوصافهم تخلق انطباعًا بأن هاتف الضحية مصاب ، وأن بيانات الضحية قد تم كشفها عبر الإنترنت ، وأن تطبيق مكافحة الفيروسات قد انتهت صلاحيته. تحتوي أوصاف الأحداث على رابط يوجه الضحية لزيارة موقع برامج الإعلانات المزيفة. يدعي موقع الويب هذا مرة أخرى أن الجهاز مصاب ويوفر للمستخدم خيار تنزيل تطبيقات يفترض أنها أنظف من Google Play ".
الوضع أكثر خطورة بالنسبة للضحايا الذين يستخدمون أجهزة Android ؛ لأن مواقع الويب الاحتيالية هذه يمكن أن تؤدي إلى تنزيلات تطبيقات ضارة من خارج متجر Google Play. في أحد السيناريوهات ، يطلب موقع الويب تنزيل تطبيق يسمى "adBLOCK" ، والذي لا علاقة له بالممارسة القانونية ويفعل عكس منع الإعلانات. في سيناريو آخر ، عندما يشرع الضحايا في تنزيل الملف المطلوب ، تظهر صفحة ويب تحتوي على خطوات لتنزيل وتثبيت التطبيق الضار المسمى "ملفك جاهز للتنزيل". في كلا السيناريوهين ، يتم إرسال برامج الإعلانات المزيفة أو طروادة Android / FakeAdBlocker عبر خدمة تقصير عناوين URL.
كن أول من يعلق