Malware-Werbung bedroht Android- und iOS-Geräte
URL-Shortener verteilt Malware und missbraucht Kalenderfunktion
Eine aggressive Werbung, die gefährliche Schadprogramme verteilt, treibt laut Eset- Forschern derzeit ihr Unwesen. Darüber hinaus erstellt die Malware vermeintliche Events in iOS- und Android-Kalendern. Diese Werbung kostet die Opfer oft Geld, da Premium-SMS-verschickt und Abonnements abgeschlossen werden. Bei Android droht die Gefahr, dass Banking- und SMS-Trojaner oder bösartige Anwendungen auf die Geräte gelangen.
Android/FakeAdBlocker, so der Name eines Schädlings, versteckt in der Regel sein Launcher-Symbol und liefert unerwünschte Scareware- oder pornographische Werbung aus. Laut den Eset-Forschern wurde allein diese Schad-App vom 1. Januar bis 1. Juli 2021 mehr als 150.000 Mal auf Android-Geräte heruntergeladen. Die meisten Betroffenen kamen aus Russland, den USA, Mexiko und auch Deutschland. Darüber hinaus gab es einen Download hunderter anderer Schadprogramme. Ihre Analyse haben die Sicherheitsexperten nun auf WeLiveSecurity veröffentlicht.
„Unsere Telemetrie-Daten zeigen, dass viele Nutzer Android-Apps außerhalb von Google Play downloaden. Häufig gelangen sie so an Schad-Apps, die durch aggressive Werbepraktiken verteilt werden und Einnahmen für die Cyberkriminellen generieren. Die aktuelle Kampagne ist besonders für Android-Nutzer sehr gefährlich“, erklärt Lukas Stefanko, der Eeset-Forscher, der Android/FakeAdBlocker analysiert hat. In den Kalendern erstelle die Malware 18 Ereignisse, die jeden Tag stattfinden und jeweils zehn Minuten dauern. „Ihre Namen und Beschreibungen suggerieren, dass das Smartphone des Opfers mit Malware infiziert ist, persönliche Daten veröffentlicht wurden oder die Virenschutz-Apps abgelaufen sei. Die Beschreibungen der Ereignisse enthalten jeweils einen Link, der das Opfer auf eine Scareware-Werbe-Webseite führt. Diese Webseite behauptet wiederum, dass das Gerät infiziert wurde und bietet dem Benutzer die Möglichkeit, dubiose Reinigungsanwendungen von Google Play herunterzuladen“, so Stefanko weiter.
Für Betroffene, die ein Android-Smartphone oder -Tablet nutzen, ist die Situation noch gefährlicher. Die betrügerischen Webseiten bieten schädliche Apps zum Download außerhalb des Google Play-Stores an. In einem Szenario fordert die Webseite dazu auf, eine Anwendung namens "adBLOCK" herunterzuladen, die nichts mit der legitimen Anwendung zu tun hat und das Gegenteil von Blockieren von Werbung bewirkt.In einem anderen Szenario sehen die Opfer beim Herunterladen der angeforderten Datei eine Webseite, die die Schritte zum Herunterladen und Installieren einer bösartigen Anwendung mit dem Namen "Your File Is Ready To Download" beschreibt. In beiden Szenarien stellt sie eine Scareware-Werbung oder den Android/FakeAdBlocker-Trojaner über einen URL-Verkürzungsdienst bereit. Aber nicht nur den Android/FakeAdBlocker habe man so verteilt, sondern auch beispielsweise den Banking-Trojaner Cerberus, der als Update für Chrome oder Android sowie Adobe Flash Player getarnt war.
Link-Shortener-Dienste verwenden aggressive Werbetechniken
Die Eeset-Forscher haben außerdem Link-Shortener-Dienste identifiziert, die Termine in iOS-Kalender platzieren und die Android/FakeAdBlocker-Malware verbreiten, die auf Android-Geräten gestartet werden kann. Auf iOS-Geräten überfluten diese Links die Opfer nicht nur mit unerwünschter Werbung, sondern können auch Ereignisse in den Kalendern der Opfer erstellen, indem sie automatisch eine ICS-Kalenderdatei herunterladen. „Wenn jemand auf einen solchen Link klickt, erscheint eine Werbung, die Einnahmen für die Person generiert, die die verkürzte URL erstellt hat. Das Problem ist, dass einige dieser Link-Shortener-Dienste aggressive Werbetechniken wie Scareware-Werbung verwenden, die Nutzer darüber informiert, dass ihre Geräte vermeintlich mit gefährlicher Malware infiziert sind“, erklärte Stefanko.
Lesen Sie mehr zum Thema
