Jedną z podstawowych zasad bezpiecznego korzystania z zasobów Internetu jest powstrzymanie się przed klikaniem w linki niewiadomego pochodzenia. Cyberprzestępcy stosują niekiedy wyrafinowane psychologicznie techniki ukrywania złośliwych treści. Na przykład fałszywe oprogramowanie zabezpieczające (scareware) wykorzystuje narzędzia socjotechniki do stworzenia wrażenia zagrożenia dla ofiary, tak by nakłonić ją do pożądanego zachowania. Specjaliści ds. cyberbezpieczeństwa z firmy ESET przeanalizowali coraz powszechniejsze zagrożenie tego typu pod nazwą Android/FakeAdBlocker. Wykorzystuje ono usługi skracania adresów URL i udostępnianie wygenerowanych w ten sposób linków do pobrania złośliwego oprogramowania. Konsekwencje takiego zachowania mogą być bardzo poważne, włącznie z przejęciem dostępu do konta bankowego ofiary. Przypadki instalacji bankowego trojana Cerberus zostały zanotowane także w Polsce.
Jak działa Android/FakeAdBlocker?
Badania telemetryczne przeprowadzone przez badaczy ESET pokazały, że od 1 stycznia do 1 lipca 2021 r. na urządzenia z systemem Android niebezpieczna aplikacja sklasyfikowana jako Android/FakeAdBlocker została pobrana ponad 150 000 razy. Złośliwe oprogramowanie wykorzystuje narzędzia skracania adresów URL. Tego typu narzędzia pozwalają na uzyskanie krótkiego adresu URL, na przykład: bit.ly/3xUKnib, który ukrywa oryginalne nazwy domen. W kolejnym kroku, linki te są rozsyłane za pomocą wiadomości tekstowych lub są udostępniane w komentarzach w mediach społecznościowych (np. na Facebooku lub Instagramie), na stronach internetowych czy w ramach aplikacji zainstalowanych na urządzeniach. Po kliknięciu w taki link na urządzeniu ofiary jest instalowane złośliwe oprogramowanie, które pobiera z serwera C&C kontrolowanego przez oszustów i uruchamia dodatkowe szkodliwe programy, takie jak trojany bankowe, trojany SMS, i agresywne oprogramowanie reklamowe, tzw. adware.
Po pierwszym uruchomieniu Android/FakeAdBlocker jego ikona zostaje ukryta, a na ekranie zainfekowanego urządzenia rozpoczyna się wyświetlanie niechcianych reklam mających wywołać strach i poczucie zagrożenia (scareware). W konsekwencji kontaktu ze złośliwym oprogramowaniem i fałszywymi komunikatami na temat bezpieczeństwa, ofiara może odnieść wrażenie, że jej urządzenie jest zainfekowane wirusem, a reklama nakazuje użytkownikowi pobieranie określonych aplikacji ze sklepu Google Play lub spoza oficjalnego sklepu Google. Oprócz tego oferuje udział w podejrzanych ankietach, dostarczanie treści dla dorosłych, rozpoczęcie subskrypcji płatnych usług SMS premium, składanie wątpliwych ofert wygrania nagród czy tworzenie w kalendarzach, także dla systemu iOS, fałszywych wydarzeń informujących o nieistniejących zagrożeniach. Dodatkowo złośliwe oprogramowanie wykorzystuje usługi skracania adresów URL do tworzenia linków do reklam, które w niektórych przypadkach zarabiają na swoich kliknięciach.
Realne zagrożenie dla klientów banków
Największym zagrożeniem jest jednak możliwość zainstalowania w urządzeniu z systemem Android złośliwego trojana bankowego Cerberus. Specjaliści ESET zidentyfikowali setki przypadków, w których Cerberus został pobrany poprzez instalację fałszywej aplikacji imitującej inną pełnoprawną aplikację, na przykład Chrome, Android Update, Adobe Flash Player czy Update Android. Takie przypadki miały miejsce głównie w Polsce, Turcji, Hiszpanii, Grecji i we Włoszech.
- Cerberus wykrada przede wszystkim dane logowania do bankowości internetowej i aplikacji społecznościowych. W tym celu wyświetla użytkownikowi tzw. overlay, który na ekranie urządzenia „przykrywa” pełnoprawną aplikację uruchomioną na urządzeniu, wyłudzając dane logowania od użytkownika. Użytkownik może być przekonany, że wpisuje dane w pełnoprawnej aplikacji, podczas gdy przekazuje je wprost w ręce przestępców – wyjaśnia Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET. - Cerberus potrafi również przechwytywać wiadomości SMS z kodami jednorazowymi służącymi do autoryzacji przelewów lub logowania do danej usługi w przypadku włączonego dwuskładnikowego uwierzytelniania. Obie funkcjonalności razem (wyłudzanie danych logowania i przechwytywanie kodów jednorazowych) umożliwiają przestępcom przejęcie pełnego dostępu do konta użytkownika, a w przypadku konta bankowego wyprowadzanie pieniędzy – dodaje.
Od kalendarza w iOS do trojana na Androida
W przypadku urządzeń z systemem iOS, specjaliści ESET zidentyfikowali usługi skracania adresów URL, które zalewają ofiary niechcianymi reklamami i przesyłają zdarzenia do kalendarzy, a także rozpowszechniają linki, które następnie mogą być uruchomione na urządzeniach z systemem Android. Adresy te mogą tworzyć wydarzenia w kalendarzach ofiar, automatycznie pobierając plik kalendarza ICS. Android/FakeAdBlocker tworzy 18 wydarzeń w każdym dniu, z których każde ma długość 10 minut. Ich nazwy i opisy sugerują, że smartfon ofiary jest zainfekowany, dane ofiary są ujawnione w Internecie lub aplikacja antywirusowa wygasła. Opisy każdego zdarzenia zawierają link, który prowadzi ofiarę do odwiedzenia witryny z reklamami typu scareware. Ta strona ponownie twierdzi, że urządzenie zostało zainfekowane i oferuje użytkownikowi opcję pobrania podejrzanych aplikacji z Google Play, które mają rzekomo usunąć problem. W jednym z kolejnych kroków witryna żąda pobrania aplikacji o nazwie „adBLOCK”, która nie ma nic wspólnego z legalną aplikacją o tej samej nazwie, a w rzeczywistości działa odwrotnie niż blokowanie reklam. Gdy ofiary przystąpią do pobierania żądanego pliku, zostanie im wyświetlona strona internetowa opisująca kolejne kroki w celu pobrania i zainstalowania złośliwej aplikacji o nazwie „Your File Is Ready To Download.apk.”. W obu scenariuszach reklama typu scareware lub trojan Android/FakeAdBlocker jest dostarczana za pośrednictwem usługi skracania adresów URL.
Proces odinstalowywania Android/FakeAdBlocker
Aby zidentyfikować i usunąć Android/FakeAdBlocker, w tym jego dynamicznie ładowany komponent adware, należy przejść do sekcji Ustawienia/Aplikacje i powiadomienia i wyszukać go wśród zainstalowanych aplikacji. Ponieważ złośliwe oprogramowanie nie ma ikony ani nazwy aplikacji jest ono łatwe do znalezienia. Po zlokalizowaniu aplikacji należy kliknąć w nią jeden raz, następnie dotknąć przycisku Odinstaluj, a na koniec potwierdzić żądanie usunięcia oprogramowania.
Jak zapobiegać infekcji złośliwym oprogramowaniem?
Aby uchronić się przed instalacją Android/FakeAdBlocker i trojana bankowego należy przestrzegać kilku podstawowych zasad:
- Korzystanie z mechanizmu systemu Android, który nie pozwala na instalację aplikacji pochodzących spoza oficjalnych sklepów – oprogramowanie powinno być pobierane tylko i wyłącznie z Google Play.
- Zachowanie czujności i ostrożności w trakcie pobierania aplikacji, w tym weryfikacja uprawnień i dostępów, których żąda instalowane oprogramowanie.
- Powstrzymanie się przed klikaniem w adresy w wiadomościach tekstowych, szczególnie w przypadku jakichkolwiek wątpliwości odnośnie do ich nadawcy czy treści.
- Zwrócenie szczególnej uwagi na aplikacje, które wymagają dostępu do wiadomości użytkownika.