Сервисы сокращения ссылок начали распространять трояны

Мошенники генерируют в них ссылки и распространяют их под видом предложений о блокировке рекламы, а также установке VPN или антивируса. После перехода по такой ссылке на смартфоны пользователей загружается вредоносное ПО FakeAdBlocker. В период с 1 января по 1 июля 2021 года было загружено свыше 150 тысяч экземпляров этого вируса на Android-устройства, из которых 7,2% пришлось на РФ, что делает ее одной из наиболее пострадавших стран в мире.

Вирус FakeAdBlocker впервые обнаружили два года назад, а пик загрузок пришелся на июнь этого года. Он загружает на устройство трояны, которые помогают злоумышленникам красть данные онлайн-банкинга, а также заполнять календарь на телефоне событиями со ссылками на другие вредоносные ресурсы.

FakeAdBlocker также может показывать рекламу в произвольные моменты и способен установить на устройство другие приложения по команде центра управления, отметили в «Лаборатории Касперского». На данный момент доля этого вируса составляет 13,6% от всех обнаруженных во втором квартале текущего года «агрессивных» рекламных приложений, причем в первом квартале его доля была ниже — 11,07%.

Исследователь угроз в Avast Якуб Вавра пояснил, что такие приложения навязчиво показывают рекламу, а также устанавливают другие программы. Общее количество пользователей Avast во всем мире, защищенных от FakeAdBlocker, исчисляется сотнями тысяч.

Руководитель направления ESET Threat Intelligence Александр Пирожков в свою очередь добавил, что массовое заражение FakeAdBlocker через легальные сервисы сокращения ссылок стало возможным благодаря несовершенству используемой ими модели. Они работают как посредники между покупателями и рекламодателями: рекламодатель платит деньги за показ объявления на сайте, при этом часть оплаты отходит стороне, создавшей укороченную ссылку, а сервис сокращения адресов не несет ответственности за рекламный контент.

В целом сервисы сокращения ссылок стали популярны из-за ограничений по знакам в соцсети Twitter, до того как она перестала учитывать гиперссылки в сообщениях в 2016 году. На данный момент такие ссылки используются преимущественно в интернет-рекламе и SMM, а также в случаях, когда добавляют UTM-метки, которые позволяют собрать данные об источнике трафика, например «Яндекс.Директе», пояснил основатель SMMplanner Василий Крылов.

Сейчас в число самых популярных сервисов для сокращения ссылок входят «Кликер» «Яндекса», vk.cc «ВКонтакте», Bitly и другие. Во «ВКонтакте» заявили, что ведут мониторинг и блокируют переход по опасным ссылкам, а в «Яндексе» на запрос журналистов не ответили.

При этом нужно понимать, что услуга сервисов для сокращения ссылок легитимна, то есть их нельзя привлечь к ответственности. Генеральный директор Infosecurity a Softline Company Кирилл Солодовников считает, что массовые заражения связаны с низким уровнем цифровой гигиены пользователей, которые загружают программы с весьма сомнительных сайтов, а также не используют антивирусы и обходят встроенные механизмы защиты мобильной ОС.

Между тем, уязвимость в старых версиях операционной системы MacOS, которая используется на компьютерах Apple, может позволить сетевым преступникам делать скриншоты или записывать видео с экрана, а также получать доступ к некоторым файлам пользователя.