Uwaga na fałszywe reklamy - jedno kliknięcie może wyczyścić konto
"Twój telefon został zainfekowany" lub "Musisz zainstalować aktualizację!" - tego typu fałszywe reklamy mogą pojawić się na telefonie niejednego internauty. To oszustwo, które wykorzystuje socjotechnikę, aby nas przestraszyć i przekonać do instalacji szkodliwego programu zabezpieczającego (scareware). Konsekwencje? Przestępcy mogą uzyskać dostęp do naszego konta bankowego.
Badania telemetryczne przeprowadzone przez badaczy ESET pokazały, że od 1 stycznia do 1 lipca 2021 r. na urządzenia z systemem Android niebezpieczna aplikacja sklasyfikowana jako Android/FakeAdBlocker została pobrana ponad 150 000 razy. Złośliwe oprogramowanie wykorzystuje narzędzia skracania adresów URL. Tego typu narzędzia pozwalają na uzyskanie krótkiego adresu URL, który ukrywa oryginalne nazwy domen. W kolejnym kroku, linki te są rozsyłane za pomocą wiadomości tekstowych lub są udostępniane w komentarzach w mediach społecznościowych (np. na Facebooku lub Instagramie), na stronach internetowych czy w ramach aplikacji zainstalowanych na urządzeniach. Po kliknięciu w taki link na urządzeniu ofiary jest instalowane złośliwe oprogramowanie, które pobiera z serwera C&C kontrolowanego przez oszustów i uruchamia dodatkowe szkodliwe programy, takie jak trojany bankowe, trojany SMS, i agresywne oprogramowanie reklamowe, tzw. adware.
Po pierwszym uruchomieniu Android/FakeAdBlocker jego ikona zostaje ukryta, a na ekranie zainfekowanego urządzenia rozpoczyna się wyświetlanie niechcianych reklam mających wywołać strach i poczucie zagrożenia (scareware). W konsekwencji kontaktu ze złośliwym oprogramowaniem i fałszywymi komunikatami na temat bezpieczeństwa, ofiara może odnieść wrażenie, że jej urządzenie jest zainfekowane wirusem, a reklama nakazuje użytkownikowi pobieranie określonych aplikacji ze sklepu Google Play lub spoza oficjalnego sklepu Google. Oprócz tego oferuje udział w podejrzanych ankietach, dostarczanie treści dla dorosłych, rozpoczęcie subskrypcji płatnych usług SMS premium, składanie wątpliwych ofert wygrania nagród czy tworzenie w kalendarzach, także dla systemu iOS, fałszywych wydarzeń informujących o nieistniejących zagrożeniach. Dodatkowo złośliwe oprogramowanie wykorzystuje usługi skracania adresów URL do tworzenia linków do reklam, które w niektórych przypadkach zarabiają na swoich kliknięciach.
Realne zagrożenie dla klientów banków
Największym zagrożeniem jest jednak możliwość zainstalowania w urządzeniu z systemem Android złośliwego trojana bankowego Cerberus. Specjaliści ESET zidentyfikowali setki przypadków, w których Cerberus został pobrany poprzez instalację fałszywej aplikacji imitującej inną pełnoprawną aplikację, na przykład Chrome, Android Update, Adobe Flash Player czy Update Android. Takie przypadki miały miejsce głównie w Polsce, Turcji, Hiszpanii, Grecji i we Włoszech.
Zobacz również:
- Cerberus wykrada przede wszystkim dane logowania do bankowości internetowej i aplikacji społecznościowych. W tym celu wyświetla użytkownikowi tzw. overlay, który na ekranie urządzenia "przykrywa" pełnoprawną aplikację uruchomioną na urządzeniu, wyłudzając dane logowania od użytkownika. Użytkownik może być przekonany, że wpisuje dane w pełnoprawnej aplikacji, podczas gdy przekazuje je wprost w ręce przestępców - wyjaśnia Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET. - Cerberus potrafi również przechwytywać wiadomości SMS z kodami jednorazowymi służącymi do autoryzacji przelewów lub logowania do danej usługi w przypadku włączonego dwuskładnikowego uwierzytelniania. Obie funkcjonalności razem (wyłudzanie danych logowania i przechwytywanie kodów jednorazowych) umożliwiają przestępcom przejęcie pełnego dostępu do konta użytkownika, a w przypadku konta bankowego wyprowadzanie pieniędzy - dodaje.
Co z iPhone'ami?
W przypadku urządzeń z systemem iOS, specjaliści ESET zidentyfikowali usługi skracania adresów URL, które zalewają ofiary niechcianymi reklamami i przesyłają zdarzenia do kalendarzy, a także rozpowszechniają linki, które następnie mogą być uruchomione na urządzeniach z systemem Android. Adresy te mogą tworzyć wydarzenia w kalendarzach ofiar, automatycznie pobierając plik kalendarza ICS. Android/FakeAdBlocker tworzy 18 wydarzeń w każdym dniu, z których każde ma długość 10 minut. Ich nazwy i opisy sugerują, że smartfon ofiary jest zainfekowany, dane ofiary są ujawnione w Internecie lub aplikacja antywirusowa wygasła. Opisy każdego zdarzenia zawierają link, który prowadzi ofiarę do odwiedzenia witryny z reklamami typu scareware.
Ta strona ponownie twierdzi, że urządzenie zostało zainfekowane i oferuje użytkownikowi opcję pobrania podejrzanych aplikacji z Google Play, które mają rzekomo usunąć problem. W jednym z kolejnych kroków witryna żąda pobrania aplikacji o nazwie "adBLOCK", która nie ma nic wspólnego z legalną aplikacją o tej samej nazwie, a w rzeczywistości działa odwrotnie niż blokowanie reklam. Gdy ofiary przystąpią do pobierania żądanego pliku, zostanie im wyświetlona strona internetowa opisująca kolejne kroki w celu pobrania i zainstalowania złośliwej aplikacji o nazwie "Your File Is Ready To Download.apk.". W obu scenariuszach reklama typu scareware lub trojan Android/FakeAdBlocker jest dostarczana za pośrednictwem usługi skracania adresów URL.
Proces odinstalowywania Android/FakeAdBlocker
Aby zidentyfikować i usunąć Android/FakeAdBlocker, w tym jego dynamicznie ładowany komponent adware, należy przejść do sekcji Ustawienia/Aplikacje i powiadomienia i wyszukać go wśród zainstalowanych aplikacji. Ponieważ złośliwe oprogramowanie nie ma ikony ani nazwy aplikacji jest ono łatwe do znalezienia. Po zlokalizowaniu aplikacji należy kliknąć w nią jeden raz, następnie dotknąć przycisku Odinstaluj, a na koniec potwierdzić żądanie usunięcia oprogramowania.
Jak zapobiegać infekcji złośliwym oprogramowaniem?
Aby uchronić się przed instalacją Android/FakeAdBlocker i trojana bankowego należy przestrzegać kilku podstawowych zasad:
1. Korzystanie z mechanizmu systemu Android, który nie pozwala na instalację aplikacji pochodzących spoza oficjalnych sklepów - oprogramowanie powinno być pobierane tylko i wyłącznie z Google Play.
2. Zachowanie czujności i ostrożności w trakcie pobierania aplikacji, w tym weryfikacja uprawnień i dostępów, których żąda instalowane oprogramowanie.
3. Powstrzymanie się przed klikaniem w adresy w wiadomościach tekstowych, szczególnie w przypadku jakichkolwiek wątpliwości odnośnie do ich nadawcy czy treści.
4. Zwrócenie szczególnej uwagi na aplikacje, które wymagają dostępu do wiadomości użytkownika.
