ESET identifica serviços de encurtamento de URL que distribuem malware Android, incluindo Trojans bancários

Brasil está entre os países mais afetados pela ameaça, junto ao Cazaquistão, Rússia, México e Peru

ESET identifica serviços de encurtamento de URL que distribuem malware Android, incluindo Trojans bancáriosESET, empresa líder em detecção proativa de ameaças, identificou uma ameaça agressiva com base em serviços de encurtamento de links, que infecta dispositivos, levando-os a participar de pesquisas suspeitas ou redirecionando-os para baixar aplicativos não confiáveis, além de distribuir conteúdo adulto, oferecendo assinaturas iniciais para serviços premium de SMS e execução de cargas adicionais (como Trojans bancários, Trojans SMS e adware agressivo).

Os serviços de encurtador de links são usados para encurtar URLs muito longos, ocultar o nome de domínio do URL original, obter métricas dos usuários que abriram o link ou, em alguns casos, até mesmo monetizar seus cliques. Monetização significa que quando alguém clica nesse link, um anúncio é exibido, gerando receita para a pessoa que criou o URL encurtado.

Alguns desses serviços para encurtar links identificados pela ESET usam técnicas de publicidade agressivas, como anúncios de scareware, que procuram fazer os usuários acreditarem que seus dispositivos foram infectados com algum malware, levando-os a participar de pesquisas suspeitas ou redirecionando-os para a Play Store para que eles baixem aplicativos não confiáveis, bem como distribuindo conteúdo adulto e oferecendo-se para iniciar assinaturas de serviços SMS premium, tendo as notificações do navegador ativadas e distribuindo ofertas questionáveis para ganhar supostos prêmios.

De acordo com a telemetria da ESET, o Android/FakeAdBlocker foi detectado pela primeira vez em setembro de 2019 e, de 1º de janeiro a 1º de julho de 2021, mais de 150 mil instâncias dessa ameaça foram baixadas para dispositivos Android. Os países mais afetados são Ucrânia, Cazaquistão, Rússia, México, Peru e Brasil. Embora na maioria dos casos o malware exiba anúncios agressivos, a ESET identificou centenas de casos em que diferentes cargas maliciosas foram baixadas e executadas, incluindo o Trojan bancário Cerberus, que se disfarçou em várias formas, como Chrome, Android Update, Adobe Flash Player ou Update Android.

 

ESET identifica serviços de encurtamento de URL que distribuem malware Android, incluindo Trojans bancários
Detecção de telemetria ESET Android/FakeAdBlocker

A equipe de pesquisa da ESET identificou também serviços encurtadores de links que enviam eventos para calendários iOS e distribuem o malware FakeAdBlocker que podem ser iniciados em dispositivos Android. Em dispositivos iOS, além de inundar as vítimas com anúncios indesejados, esses links podem criar eventos nos calendários das vítimas, baixando automaticamente um arquivo de calendário ICS.

Para as vítimas que usam dispositivos Android, a situação é mais delicada porque esses sites fraudulentos podem fornecer um aplicativo malicioso para download fora da Play Store. Em um dos casos analisados, o site solicita o download de um aplicativo denominado “adBLOCK”, que nada tem a ver com o aplicativo legítimo e, na verdade, faz o contrário de bloquear anúncios. Em outro caso, quando as vítimas baixam o arquivo solicitado, é exibida uma página da web que descreve as etapas para baixar e instalar um aplicativo malicioso chamado “Seu arquivo está pronto para download”. Em ambos os cenários, um anúncio de scareware, ou o Trojan FakeAdBlocker, é entregue por meio de um serviço de encurtador de URL.

“Com base em nossa telemetria, parece que muitos usuários tendem a baixar aplicativos Android de fora do Google Play, o que pode levá-los a baixar aplicativos maliciosos entregues por meio de práticas publicitárias agressivas que são usadas para gerar receita para seus autores”, explica o pesquisador da ESET, Lukas Stefanko, que analisou o FakeAdBlocker.

Para saber mais sobre segurança da informação, entre no portal de notícias da ESET: https://www.welivesecurity.com/br/2021/07/21/servicos-de-encurtamento-de-url-distribuem-malware-android-incluindo-trojans-bancarios/