Международный разработчик антивирусного ПО Eset провел исследование безопасности служб по сокращению URL. Сами сервисы в большинстве своем безопасны для пользователей, но реклама в них оказалась источником вредоносных программ.
С 1 января по 1 июля 2021 г. эксперты Eset зафиксировали загрузку более 150 тыс. экземпляров вируса FakeAdBlocker на устройства Android. Наиболее пострадавшими странами оказались Россия, Казахстан и Украина. Все заражения произошли в результате перехода по рекламным ссылкам из сервисов по сокращению URL.
Кликнув вредоносную ссылку, пользователи устанавливали себе на смартфоны незаметное, но очень опасное приложение. Оказавшись на устройстве, программа FakeAdBlocker загружает разнообразные банковские трояны (Cerberus, Ginp, TeaBot), а также запускает в фоновом режиме нежелательные процессы.
Одна из самых неприятных функций вируса связана с «захватом» календаря на смартфоне. Программа заполняет календарь событиями, ведущими на другие вредоносные ресурсы – полноэкранную рекламу, контент для взрослых, фейковые сообщения об угрозах и т.д.
Привлечь к ответственности сервисы по сокращению ссылок крайне сложно, пояснил руководитель направления Eset Threat Intelligence Александр Пирожков: «Массовое заражение через легальные сервисы сокращения ссылок стало возможно из-за несовершенства используемой бизнес-модели «оплата за клик». Службы коротких URL-адресов действуют как посредники между покупателями и рекламодателями. Рекламодатель платит за показ объявления на веб-сайте, при этом часть этой оплаты переходит стороне, создавшей укороченную ссылку. Зачастую сам сервис сокращения адресов не несет ответственности за доставленный рекламный контент и официально предупреждает об этом в политиках конфиденциальности».
Специалисты Eset подготовили инструкцию по удалению Android/FakeAdBlocker с зараженного устройства.
Чтобы идентифицировать и удалить вирус, включая его динамически загружаемое рекламное ПО, необходимо сначала найти его среди установленных приложений, перейдя в «Настройки», а затем в «Приложения». Поскольку у вредоносного ПО нет значка или названия приложения, его легко обнаружить. Коснитесь один раз, чтобы выбрать, а затем нажмите кнопку «Удалить/Uninstall» и подтвердите запрос на удаление угрозы.
Удаление Android/FakeAdBlocker не приведет к исчезновению спам-событий, созданных в календаре. Вы можете удалить их вручную, но быстрее это сделать с помощью приложения Calendar Cleanup – оно доступно в официальном магазине Google Play.