0
0
Gabriel Daros
Uma análise de segurança digital da ESET descobriu que encurtadores de URL estão sendo utilizados para empurrar os usuários a instalar malwares, trojans bancários e apps maliciosos para Android e iOS. Os serviços são utilizados para ocultar páginas que detectam qual dispositivo está acessando e, assim, direcionar para uma página diferente.
Na prática, os encurtadores não são necessariamente nocivos, já que podem ser usados para inserir métricas de acesso a páginas importantes ou monetizar cliques. Porém, é na monetização de cliques que páginas legítimas podem levar os usuários a acessar uma campanha de propaganda que, por sua vez, catapulta o usuário para os sites de malware.
E é aí que esta campanha age. A telemetria da ESET detectou que, de janeiro até o começo de julho, quase 150,000 dispositivos foram infectados com o malware Android/FakeAdBlocker, utilizado pelos cibercriminosos na propaganda. Os encurtadores recebem uma parte do valor dos anunciantes, pagos por clique, e dizem não serem responsáveis pelo conteúdo dos anúncios.
A análise da ESET notou que as táticas e malwares espalhados pelos encurtadores de URL variam conforme o dispositivo. A mesma propaganda pode levar o usuário a baixar um trojan bancário no Android e, no iOS, importar um arquivo de calendário ICS malicioso.
Tática de scareware empurra desavisados para os malwares
A campanha utiliza uma das mais conhecidas portas de entrada para malware: propagandas scareware. São aqueles anúncios que tentam criar pânico no usuário ao avisar, “seu dispositivo está infectado”, e depois empurram o usuário para baixar o suposto anti-vírus — que, na verdade, é um malware.
A tática é a mesma que empurra outros anúncios duvidosos, como prêmios para o bilionésimo visitante, sites onde lindas garotas russas procuram amantes latinos, conteúdo adulto, jogos e outros caça-cliques.
No iOS, scareware d0mina calendário com dezoito “avisos” de malware
Quando bem-sucedido, a campanha com os encurtadores de URL não levam a vítima a instalar malware no iOS, mas sim um calendário ICS com dezoito eventos. Com marcações de dez minutos, ele infecta completamente a agenda, com eventos com outros links encurtados que também levam a mais scareware e propagandas maliciosas.
Neste cenário, além do inconveniente de inutilizar a agenda e lotá-la de lixo, os cibercriminosos se beneficiam de duas maneiras. A primeira é direcionando a vítima para mais propagandas, monetizando suas visualizações. A segunda é levando elas a outros links mal-intencionados, colocando-a sob risco de instalar scripts e apps nocivos.
No Android, campanha é carregamento de malwares
Já os usuários de Android correm mais risco diante desta campanha. Isso porque os alvos de Android nos encurtadores de URL acabam expostos a uma maior variedade de malwares, abrindo o dispositivo para outros APKs e programas maliciosos, sensíveis à localização da vítima.
Segundo a ESET, existem dois cenários para as vítimas destes links no Android. O primeiro é quando a vítima se dispõe a baixar um aplicativo fora da Play Store. O site começa a pedir notificações para o usuário e solicita o download do “adBLOCK app.apk”, o que dá a entender que se trata do clássico plugin anti-anúncios.
FONTE: YAHOO