Исследователи безопасности обнаружили новый штамм вредоносного ПО для Android, который в настоящее время распространяется как блокировщик рекламы для Пользователи Android, но, по иронии судьбы, после установки он донимает жертв рекламой несколькими способами каждые несколько минут. минут.
По данным Malwarebytes, производителя антивирусов, который обнаружил вредоносное ПО, этот новый штамм, получивший название FakeAdsBlock, уже заразил не менее 500 пользователей.
Его вектор распространения — через сторонние магазины приложений, где его можно загрузить как приложение для блокировки рекламы под названием Ads Blocker, — сказал Натан Коллиер, старший аналитик по вредоносному ПО.
Однако это может измениться в будущем. Коллиер сказал, что они уже нашли доказательства того, что та же вредоносная программа FakeAdsBlock также доступна и спрятана в приложениях под названием «Hulk (2003).apk», «Guardians of the Galaxy.apk» и "Джокер (2019).apk." По словам исследователя, это говорит о том, что создатели вредоносного ПО как раз собирались перейти на фиктивную потоковую передачу фильмов. портал.
Пользователи, желающие посмотреть пиратские фильмы, в конечном итоге установят вредоносное приложение, зараженное FakeAdsBlock. Этот вектор распространения не нов и уже часто использовался раньше, особенно с приложениями, которые предоставляют доступ к фильмам для взрослых.
Принцип работы FakeAdsBlock
Что касается самого вредоносного ПО, FakeAdsBlock — это нечто иное, особенно в том смысле, что оно дерзко бомбардирует пользователей рекламой.
Все начинается с процесса установки, когда приложение «Блокировщик рекламы» (в котором скрыто вредоносное ПО) запрашивает разрешение на отображение контента поверх других приложений.
Это странный запрос на разрешение, особенно для приложения, в котором заявлена цель удалить контент, а не показывать что-то сверху.
Но темные дела продолжаются. Приложение также запрашивает доступ для установки VPN-соединения, что опять же очень странно.
«Для ясности: приложение на самом деле не подключается ни к какой VPN», Кольер сказал. «Вместо этого, нажав кнопку «ОК», пользователи фактически разрешают вредоносному ПО постоянно работать в фоновом режиме».
Тем не менее, темные дела на этом не заканчиваются. Вредоносная программа FakeAdsBlock также запрашивает доступ для отображения виджета на главном экране устройства. Это не имеет технического смысла, поскольку блокировщику рекламы не обязательно показывать виджеты, но об этом позже.
Как только все это закончится, приложение отобразит экран с текстом, прокручивающимся вниз, а затем исчезнет навсегда. Затем вредоносная программа удаляет свой значок, и начинается рекламная бомбардировка. Они появляются повсюду, в разных формах.
Есть полноэкранная реклама, спам в уведомлениях и веб-сайты, которые открываются неожиданно, предлагая пользователю включить новые уведомления и здесь.
Но новым и самым коварным трюком является использование виджета на главном экране для показа рекламы, чего раньше не было.
По словам Коллиера, вредоносное ПО FakeAdsBlock использует прозрачный виджет, внутри которого через определенные промежутки времени загружается реклама. Поскольку реклама показывается внутри виджета, ее нельзя закрыть, пока пользователь не удалит виджет. Но поскольку пользователь не может видеть виджет на своем экране, он вообще никогда не узнает, что виджет там есть.
«Блокировщик рекламы чрезвычайно сложно найти на мобильном устройстве после его установки», — сказал Коллиер. «Начнем с того, что значка блокировщика рекламы нет. Однако есть некоторые намеки на его существование, например, маленькая иконка в строке состояния». [см. изображение выше]
«Этот значок ключа был создан после принятия поддельного сообщения о VPN-соединении, как показано выше. В результате этот маленький ключ является доказательством того, что вредоносное ПО работает в фоновом режиме», — добавил исследователь Malwarebytes.
Но как только пользователи поймут, что что-то не так, они смогут перейти в раздел приложений ОС Android, откуда смогут удалить его, как и любое другое приложение. Здесь приложение должно быть легко заметить, поскольку оно единственное без значка или имени. Авторы FakeAdsBlocker думали, что поступили умно, скрыв эти две детали, но на самом деле они сделали их еще более заметными.
Безопасность
- 8 привычек высокозащищенных удаленных работников
- Как найти и удалить шпионское ПО с телефона
- Лучшие VPN-сервисы: как сравнить пятерку лучших?
- Как узнать, причастны ли вы к утечке данных, и что делать дальше