ESET identifica servicios que reducen URL que distribuyen malware para Android

El equipo de investigación de ESET, identificó una amenaza basada en servicios acortadores de URL utilizados para distribuir spam a través del calendario en los dispositivos de las víctimas.

Foto: ESET.

Centroamérica. ESET identificó una amenaza basada en servicios que abrevian enlaces o URL, que infecta los dispositivos, llevándolos a participar de encuestas sospechosas o dirigiéndose a la descarga de aplicaciones poco fiables.

También distribuyen contenido para adultos, ofreciendo iniciar suscripciones a servicios de SMS premium, y ejecutando payloads adicionales (como troyanos bancarios, troyanos SMS y adware agresivo).

Los servicios que abrevian enlaces se utilizan para acortar URL muy largas, ocultar el nombre de dominio de la URL original, obtener métricas de los usuarios que abrieron el enlace o, en algunos casos, para incluso monetizar sus clics.

La monetización significa que cuando alguien hace clic en dicho enlace se mostrará un anuncio, lo que generará ingresos para la persona que creó la URL abreviada.

Algunos de estos servicios identificados por ESET utilizan técnicas publicitarias agresivas, como los anuncios scareware: que son aquellos que buscan hacer creer a los usuarios que sus dispositivos han sido infectados con un malware peligroso, llevándolos a participar de encuestas sospechosas o dirigiéndose a la tienda de Google Play para que descarguen aplicaciones poco fiables.

Incluso ESET identificó servicios que envían eventos de «calendario» a dispositivos iOS y distribuyen malware de Android; hasta un malware al que denominaron Android/FakeAdBlocker, que descarga y ejecuta payloads adicionales.

Android/FakeAdBlocker generalmente oculta su ícono de iniciador después del lanzamiento inicial, ofrece scareware no deseado o anuncios de contenido para adultos y crea eventos de spam para los próximos meses en los calendarios de iOS y Android. Estos anuncios a menudo cuestan dinero a sus víctimas al enviar mensajes SMS con tarifas especiales, suscribirse a servicios innecesarios o descargar troyanos bancarios Android, troyanos SMS y aplicaciones maliciosas.

Además, el malware utiliza servicios de acortador de URL para crear enlaces a anuncios, que en algunos casos monetizan sus clics.

Según la telemetría de ESET, Android / FakeAdBlocker se detectó por primera vez en septiembre de 2019 y, desde el 1 de enero hasta el 1 de julio de 2021, se descargaron más de 150.000 instancias de esta amenaza en dispositivos Android. Los países más afectados son Ucrania, Kazajstán, Rusia, México, Perú y Brasil.

Aunque en la mayoría de los casos el malware muestra anuncios agresivos, ESET ha identificado cientos de casos en los que se descargaron y ejecutaron diferentes cargas útiles maliciosas, incluido el troyano bancario Cerberus, que se disfrazó de diversas formas como Chrome, Android Update, Adobe Flash Player o Update Android y descargado en dispositivos en Turquía, Polonia, España, Grecia e Italia. ESET también vio cómo se descargaba el troyano Ginp en Grecia y Oriente Medio.

El equipo de investigación de ESET identificó servicios de acortador de enlaces que envían eventos a los calendarios de iOS y distribuyen el malware Android / FakeAdBlocker que se puede iniciar en dispositivos Android.

Compartir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *