ESET Research a analysé une menace publicitaire agressive – Android/FakeAdBlocker – qui télécharge des charges utiles malveillantes fournies par le serveur commande & contrôle de son opérateur. Android/FakeAdBlocker masque généralement son icône après le lancement initial, diffuse des publicités indésirables ou du contenu pour adultes, et crée des événements de spam pour les mois à venir dans les calendriers iOS et Android. Ces publicités sont souvent payantes et envoyées sous forme de messages SMS surtaxés à leurs victimes et les incitent à s'abonner à des services inutiles ou à télécharger des chevaux de Troie bancaires Android, des chevaux de Troie SMS et des applications malveillantes. De plus, le malware utilise des services de raccourcissement d'URL pour créer des liens vers des publicités, qui dans certains cas monétisent leurs clics.
D’après la télémétrie d’ESET, Android/FakeAdBlocker a été repéré pour la première fois en septembre 2019. Du 1er janvier au 1er juillet 2021 plus de 150 000 exemples de cette menace ont été téléchargées sur des appareils Android. Les pays les plus touchés sont les États-Unis, le Mexique, l'Ukraine, la Russie, le Vietnam, l'Inde et le Kazakhstan. Alors que dans la plupart des cas, le malware affiche des publicités agressives, ESET a identifié des centaines de cas où différentes charges utiles malveillantes ont été téléchargées et exécutées, y compris le cheval de Troie bancaire Cerberus déguisé soit en Chrome, Android Update, Adobe Flash Player ou Update Android, et téléchargé sur des appareils en Turquie, en Pologne, en Espagne, en Grèce et en Italie. ESET a également vu que le cheval de Troie Ginp a été téléchargé en Grèce et au Moyen-Orient.
« Sur base de notre télémétrie, il semble que de nombreux utilisateurs ont tendance à télécharger des applis Android en dehors de Google Play Store, ce qui pourrait les amener à télécharger des applis malveillantes fournies via des pratiques publicitaires agressives utilisées pour générer des revenus pour leurs auteurs », explique Lukáš Štefanko, le chercheur d’ESET qui a analysé Android/FakeAdBlocker. Commentant la monétisation des liens URL raccourcis, Stefanko ajoute : « Lorsque quelqu'un clique sur un tel lien, une publicité s'affichera et générera des revenus pour la personne qui a créé l'URL raccourcie. Et certains de ces services de raccourcissement de liens utilisent des techniques publicitaires agressives telles que le scareware (publicités effrayantes) informant les utilisateurs que leurs appareils sont infectés par de dangereux logiciels malveillants. »
ESET Research a identifié des services de raccourcissement de liens qui placent des événements sur les calendriers iOS et distribuent le malware Android/FakeAdBlocker qui peut être lancé sur les appareils Android. Sur les appareils iOS, en plus d'inonder les victimes de publicités indésirables, ces liens peuvent créer des événements dans les calendriers des victimes en téléchargeant automatiquement un fichier de calendrier ICS.
« Cela crée 18 événements par jour, chacun d'une durée de 10 minutes », explique Štefanko. « Leurs noms et descriptions suggèrent que le smartphone de la victime est infecté, que ses données sont mises en ligne ou qu'une appli de protection antivirus a expiré. Les descriptions de chaque événement comportent un lien qui amène la victime à visiter un site de scareware. Ce site confirme que l'appareil a été infecté et offre à l'utilisateur la possibilité de télécharger des applis de nettoyage louches à partir de Google Play. »
Pour les victimes utilisant des appareils Android, la situation est plus dangereuse car ces sites frauduleux peuvent fournir une appli malveillante à télécharger en dehors du Google Play Store. Dans un scénario, le site demande de télécharger une appli nommée « adBLOCK », qui n'a rien à voir avec l'appli légitime et ne bloque absolument pas les publicités. Dans un autre scénario, lorsque les victimes procèdent au téléchargement du fichier demandé, une page Web leur décrit les étapes de téléchargement et d'installation d'une appli malveillante dont le nom est « Your File Is Ready To Download» (Votre fichier est prêt à être téléchargé). Dans les deux cas, une publicité de scareware ou un cheval de Troie Android/FakeAdBlocker est fourni via un service de raccourcissement d'URL.
Pour plus de détails techniques et pour savoir comment désinstaller Android/FakeAdBlocker, lisez le blog “Some URL shortener services distribute Android malware, including banking or SMS trojans” (Certains services de raccourcissement d'URL distribuent du malware Android, notamment des chevaux de Troie bancaires ou SMS ) sur
www.welivesecurity
Ne manquez pas de suivre ESET Research sur Twitter pour les toutes dernières nouvelles d'ESET