Acortadores de URLs distribuyen malware para Android, incluidos troyanos bancarios

El equipo de investigadores de ESET Research ha analizado una agresiva amenaza basada en publicidad, Android / FakeAdBlocker, que descarga códigos maliciosos.

Este malware, que generalmente oculta su icono de inicio, ofrece scareware (software malicioso que engaña a los usuarios para que visiten sitios infestados de malware)  o anuncios de contenido para adultos y crea eventos de spam durante los próximos meses en los calendarios de iOS y Android. Estos anuncios a menudo cuestan dinero a sus víctimas al enviar mensajes SMS de tarificación especial, suscripciones a servicios innecesarios o descargas de troyanos bancarios  y aplicaciones maliciosas para Android. Además, el malware utiliza servicios de acortadores de URLs para crear enlaces a anuncios, que en algunos casos monetizan sus clics.

Según la telemetría de ESET, Android / FakeAdBlocker se detectó por primera vez en septiembre de 2019, y desde el 1 de enero hasta el 1 de julio de 2021 se descargaron más de 150.000 instaladores de esta amenaza en dispositivos Android. Los países más afectados son Ucrania, Kazajstán, Rusia, Vietnam, India, México y Estados Unidos. Aunque en la mayoría de los casos el malware muestra anuncios agresivos, ESET ha identificado cientos de casos en los que se descargaron y ejecutaron diferentes tipos de códigos maliciosos, incluido el troyano bancario Cerberus, que se disfrazó de diversas formas como instaladores del navegador Chrome, actualizaciones de Android o Adobe Flash Player. También se observaron descargas de este troyano en dispositivos de Turquía, Polonia, España, Grecia e Italia.

«Según nuestra telemetría, parece que muchos usuarios tienden a descargar aplicaciones de Android desde fuera de Google Play, lo que podría llevarlos a descargar aplicaciones maliciosas entregadas a través de prácticas publicitarias agresivas que se utilizan para generar ingresos para sus autores», explica el investigador de ESET Lukáš Štefanko, que analizó Android/FakeAdBlocker. Al comentar la monetización de los enlaces URL acortados, Štefanko añade: “Cuando alguien hace clic en dicho enlace, se muestra un anuncio que generará ingresos para la persona que generó la dirección URL acortada. El problema es que algunos de estos servicios acortadores de enlaces utilizan técnicas publicitarias agresivas, como anuncios de scareware que informan a los usuarios que sus dispositivos están infectados con malware peligroso».

ESET Research también ha identificado servicios de acortadores de enlaces que envían eventos a los calendarios de iOS y distribuyen el malware FakeAdBlocker destinado a dispositivos Android. En los dispositivos iOS, además de inundar a las víctimas con anuncios no deseados, estos enlaces pueden crear eventos en los calendarios de las víctimas al descargar automáticamente un archivo de calendario ICS.

“Crea 18 eventos que ocurren todos los días, cada uno de los cuales dura 10 minutos”, dice Štefanko. “Sus nombres y descripciones sugieren que el smartphone de la víctima está infectado, que los datos de la víctima están expuestos en línea o que una aplicación de seguridad ha caducado. Las descripciones de cada evento incluyen un enlace que lleva a la víctima a visitar un sitio web de publicidad con scareware. Ese sitio web nuevamente afirma que el dispositivo ha sido infectado y ofrece al usuario la opción de descargar aplicaciones más limpias de Google Play».

Para las víctimas que usan dispositivos Android, la situación es más peligrosa porque estos sitios web fraudulentos pueden proporcionar una aplicación maliciosa para descargar desde fuera de la tienda Google Play. Existe la posibilidad de que el sitio web solicite descargar una aplicación llamada «adBLOCK» que no tiene nada que ver con la aplicación legítima y que, de hecho, hace lo contrario a bloquear anuncios. Otra posibilidad es que cuando las víctimas proceden a descargar el archivo solicitado, se les muestre una página web que describe los pasos para descargar e instalar una aplicación maliciosa indicando «Su archivo está listo para descargar». En ambos escenarios, un anuncio con scareware o el troyano Android/FakeAdBlocker, se entrega a través de un servicio acortador de URL.