ESET रिसर्च टीम ने Android/FakeAdBlocker का विश्लेषण किया, जो एक आक्रामक विज्ञापन-आधारित खतरा है जो मैलवेयर डाउनलोड करता है। Android/FakeAdBlocker URL शॉर्टनर सेवाओं और iOS कैलेंडर का दुरुपयोग करता है। यह Android उपकरणों को ट्रोजन वितरित करता है।
Android/FakeAdBlocker आमतौर पर पहले लॉन्च के बाद लॉन्चर आइकन को छुपा देता है। यह अवांछित नकली ऐप या वयस्क सामग्री विज्ञापन प्रदान करता है। यह आने वाले महीनों में iOS और Android कैलेंडर पर स्पैम ईवेंट बनाता है। ये विज्ञापन अक्सर पीड़ितों को भुगतान किए गए एसएमएस संदेश भेजने, अनावश्यक सेवाओं की सदस्यता लेने, या एंड्रॉइड बैंकिंग ट्रोजन, एसएमएस ट्रोजन और दुर्भावनापूर्ण ऐप्स डाउनलोड करके पैसे खोने का कारण बनते हैं। इसके अतिरिक्त, मैलवेयर विज्ञापन लिंक उत्पन्न करने के लिए यूआरएल शॉर्टनर सेवाओं का उपयोग करता है। जेनरेट किए गए यूआरएल लिंक पर क्लिक करने पर उपयोगकर्ताओं को पैसे की हानि होती है।
ESET टेलीमेट्री के आधार पर, Android/FakeAdBlocker का पहली बार सितंबर 2019 में पता चला था। 1 जनवरी से 1 जुलाई 2021 के बीच, इस खतरे के 150.000 से अधिक उदाहरण एंड्रॉइड डिवाइस पर डाउनलोड किए गए थे। सबसे अधिक प्रभावित देशों में यूक्रेन, कजाकिस्तान, रूस, वियतनाम, भारत, मैक्सिको और संयुक्त राज्य अमेरिका शामिल हैं। जबकि मैलवेयर ने कई मामलों में आपत्तिजनक विज्ञापन प्रदर्शित किए, ESET ने ऐसे सैकड़ों मामलों का भी पता लगाया जहां विभिन्न मैलवेयर डाउनलोड और निष्पादित किए गए थे; इनमें सेर्बेरस ट्रोजन शामिल है, जो क्रोम, एंड्रॉइड अपडेट, एडोब फ्लैश प्लेयर या अपडेट एंड्रॉइड प्रतीत होता है और तुर्की, पोलैंड, स्पेन, ग्रीस और इटली के उपकरणों में डाउनलोड किया जाता है। ESET ने यह भी निर्धारित किया है कि Ginp ट्रोजन को ग्रीस और मध्य पूर्व में डाउनलोड किया गया है।
जहां आप ऐप्स डाउनलोड करते हैं वहां सावधान रहें
एंड्रॉइड/फेकएडब्लॉकर का विश्लेषण करने वाले ईएसईटी शोधकर्ता लुकास स्टेफैंको ने समझाया: “हमारे टेलीमेट्री के आधार पर, कई उपयोगकर्ता Google Play के अलावा अन्य स्रोतों से एंड्रॉइड ऐप्स डाउनलोड करते हैं। इसके परिणामस्वरूप, राजस्व उत्पन्न करने के लिए लेखकों द्वारा उपयोग की जाने वाली आक्रामक विज्ञापन प्रथाओं के माध्यम से दुर्भावनापूर्ण सॉफ़्टवेयर का प्रसार हो सकता है। छोटे यूआरएल लिंक के मुद्रीकरण पर टिप्पणी करते हुए, लुकास स्टेफैंको ने जारी रखा: “जब कोई ऐसे लिंक पर क्लिक करता है, तो एक विज्ञापन प्रदर्शित होता है जो छोटा यूआरएल बनाने वाले व्यक्ति के लिए राजस्व उत्पन्न करता है। समस्या यह है कि इनमें से कुछ लिंक शॉर्टिंग सेवाएँ आक्रामक विज्ञापन तकनीकों का उपयोग करती हैं, जैसे नकली सॉफ़्टवेयर जो उपयोगकर्ताओं को बताता है कि उनके डिवाइस खतरनाक मैलवेयर से संक्रमित हैं।
ईएसईटी रिसर्च टीम ने लिंक शॉर्टिंग सेवाओं द्वारा उत्पन्न घटनाओं का पता लगाया है जो आईओएस कैलेंडर पर इवेंट भेजती हैं और मैलवेयर एंड्रॉइड/फेकएडब्लॉकर को सक्रिय करती हैं जिन्हें एंड्रॉइड डिवाइस पर लॉन्च किया जा सकता है। iOS उपकरणों पर उपयोगकर्ताओं को अवांछित विज्ञापनों से भरने के अलावा, ये लिंक स्वचालित रूप से एक ICS कैलेंडर फ़ाइल डाउनलोड कर सकते हैं और पीड़ितों के कैलेंडर पर ईवेंट बना सकते हैं।
यूजर्स को धोखा दिया जाता है
स्टेफ़ांको ने जारी रखा: “वह प्रतिदिन 10 मिनट तक चलने वाले 18 इवेंट बनाता है। उनके नाम और विवरण से यह आभास होता है कि पीड़ित का फोन संक्रमित है, कि पीड़ित का डेटा ऑनलाइन उजागर हो गया है, और एंटीवायरस एप्लिकेशन की समय सीमा समाप्त हो गई है। गतिविधियों के विवरण में एक लिंक शामिल है जो पीड़ित को नकली एडवेयर वेबसाइट पर जाने के लिए निर्देशित करता है। वह वेबसाइट फिर से दावा करती है कि डिवाइस संक्रमित है और उपयोगकर्ता को Google Play से कथित रूप से स्वच्छ ऐप्स डाउनलोड करने का विकल्प प्रदान करती है।
एंड्रॉइड डिवाइस का उपयोग करने वाले पीड़ितों के लिए स्थिति और भी खतरनाक है; क्योंकि ये धोखाधड़ी वाली वेबसाइटें Google Play स्टोर के बाहर से दुर्भावनापूर्ण ऐप डाउनलोड का कारण बन सकती हैं। एक परिदृश्य में, वेबसाइट "एडब्लॉक" नामक एक ऐप डाउनलोड करने के लिए कहती है, जिसका कानूनी अभ्यास से कोई लेना-देना नहीं है और यह विज्ञापनों को अवरुद्ध करने के विपरीत है। दूसरे परिदृश्य में, जब पीड़ित अनुरोधित फ़ाइल को डाउनलोड करने के लिए आगे बढ़ते हैं, तो एक वेब पेज "आपकी फ़ाइल डाउनलोड करने के लिए तैयार है" नामक दुर्भावनापूर्ण एप्लिकेशन को डाउनलोड और इंस्टॉल करने के चरणों के साथ दिखाई देता है। दोनों परिदृश्यों में, नकली एडवेयर या एंड्रॉइड/फेकएडब्लॉकर ट्रोजन यूआरएल शॉर्टिंग सेवा के माध्यम से भेजा जा रहा है।
टिप्पणी करने वाले पहले व्यक्ति बनें