가짜 광고 차단 애플리케이션을 조심하세요!

ESET 연구팀은 악성코드를 다운로드하는 공격적인 광고 기반 위협인 Android/FakeAdBlocker를 분석했습니다. Android/FakeAdBlocker는 URL 단축 서비스 및 iOS 캘린더를 남용합니다. 그것은 안드로이드 장치에 트로이 목마를 배포합니다.

Android/FakeAdBlocker는 일반적으로 처음 실행한 후 실행기 아이콘을 숨깁니다. 원치 않는 가짜 앱 또는 성인용 콘텐츠 광고를 제공합니다. iOS 및 Android 캘린더에서 앞으로 몇 개월 동안 스팸 이벤트를 생성합니다. 이러한 광고는 종종 피해자가 유료 SMS 메시지를 보내거나 불필요한 서비스에 가입하거나 Android 뱅킹 트로이 목마, SMS 트로이 목마 및 악성 앱을 다운로드하여 돈을 잃게 만듭니다. 또한 멀웨어는 URL 단축 서비스를 사용하여 광고 링크를 생성합니다. 생성된 URL 링크를 클릭하면 사용자가 돈을 잃게 됩니다.

ESET 원격 측정을 기반으로 Android/FakeAdBlocker는 2019년 1월에 처음 감지되었습니다. 1년 2021월 150.000일에서 XNUMX월 XNUMX일 사이에 이 위협의 XNUMX개 이상의 인스턴스가 Android 장치에 다운로드되었습니다. 가장 영향을 받은 국가는 우크라이나, 카자흐스탄, 러시아, 베트남, 인도, 멕시코 및 미국입니다. 맬웨어는 많은 경우에 공격적인 광고를 표시했지만 ESET은 다른 맬웨어가 다운로드되어 실행되는 수백 건의 경우도 감지했습니다. 여기에는 Chrome, Android 업데이트, Adobe Flash Player 또는 업데이트 Android로 보이는 Cerberus 트로이 목마가 포함되며 터키, 폴란드, 스페인, 그리스 및 이탈리아의 장치에 다운로드됩니다. ESET은 또한 Ginp 트로이 목마가 그리스와 중동에서 다운로드되었음을 확인했습니다.

앱을 다운로드할 때 주의하세요.

Android/FakeAdBlocker를 분석한 ESET 연구원 Lukáš Štefanko는 다음과 같이 설명했습니다. 이는 결과적으로 수익을 창출하는 데 사용되는 공격적인 광고 관행을 통해 맬웨어 작성자의 확산으로 이어질 수 있습니다.” 단축 URL 링크의 수익 창출에 대해 Lukáš Štefanko는 계속해서 다음과 같이 말했습니다. 문제는 이러한 링크 단축 서비스 중 일부가 사용자에게 장치가 위험한 맬웨어에 감염되었음을 알리는 가짜 소프트웨어와 같은 공격적인 광고 기술을 사용한다는 것입니다.”

ESET 연구팀은 이벤트를 iOS 캘린더로 보내고 Android 장치에서 실행할 수 있는 악성코드 Android/FakeAdBlocker를 활성화하는 링크 단축 서비스에서 생성된 이벤트를 감지했습니다. iOS 기기에서 원치 않는 광고로 사용자를 플러딩하는 것 외에도 이러한 링크는 ICS 캘린더 파일을 자동으로 다운로드하고 피해자의 캘린더에 이벤트를 생성할 수 있습니다.

사용자가 속임수

Štefanko는 계속해서 다음과 같이 말했습니다. “그는 매일 10분씩 지속되는 18개의 이벤트를 만듭니다. 그들의 이름과 설명은 피해자의 전화가 감염되었고 피해자의 데이터가 온라인에 노출되었으며 바이러스 백신 응용 프로그램이 만료되었다는 인상을 줍니다. 이벤트 설명에는 피해자가 가짜 애드웨어 웹사이트를 방문하도록 안내하는 링크가 포함되어 있습니다. 그 웹사이트는 기기가 감염되었다고 다시 주장하며 사용자에게 Google Play에서 더 깨끗한 앱을 다운로드할 수 있는 옵션을 제공합니다."

상황은 Android 기기를 사용하는 피해자에게 훨씬 더 위험합니다. 이러한 사기성 웹사이트는 Google Play 스토어 외부에서 악성 앱 다운로드로 이어질 수 있기 때문입니다. 한 시나리오에서 웹 사이트는 "adBLOCK"이라는 앱을 다운로드하도록 요청합니다. 이는 법적 관행과 관련이 없으며 광고 차단과 반대입니다. 또 다른 시나리오에서는 피해자가 요청한 파일을 다운로드할 때 "Your File Is Ready To Download"라는 악성 응용 프로그램을 다운로드하고 설치하는 단계가 포함된 웹 페이지가 나타납니다. 두 시나리오 모두 가짜 애드웨어 또는 Android/FakeAdBlocker 트로이 목마가 URL 단축 서비스를 통해 전송됩니다.