С 1 января по 1 июля 2021 года международный разработчик антивирусного программного обеспечения ESET зафиксировали загрузку более 150 тыс. экземпляров вируса FakeAdBlocker на устройства Android, заражения которым случались после перехода по рекламным ссылкам из сервисов по сокращению URL-адресов, сообщается в релизе компании. Наиболее пострадавшими странами оказались Россия, Казахстан и Украина.

«Кликнув вредоносную ссылку, пользователи устанавливали себе на смартфоны незаметное, но очень опасное приложение. Оказавшись на устройстве, программа FakeAdBlocker загружает разнообразные банковские трояны (Cerberus, Ginp, TeaBot), а также запускает в фоновом режиме нежелательные процессы», — говорится в сообщении.

Эксперты отмечают, что одна из самых неприятных функций вируса связана с «захватом» календаря на смартфоне. Программа заполняет календарь событиями, ведущими на другие вредоносные ресурсы – полноэкранную рекламу, контент для взрослых, фейковые сообщения об угрозах и т.д.

При этом привлечь к ответственности сервисы по сокращению ссылок крайне сложно, пояснил руководитель направления ESET Threat Intelligence Александр Пирожков. «Массовое заражение через легальные сервисы сокращения ссылок стало возможно из-за несовершенства используемой бизнес-модели «оплата за клик». Службы коротких URL-адресов действуют как посредники между покупателями и рекламодателями. Рекламодатель платит за показ объявления на веб-сайте, при этом часть этой оплаты переходит стороне, создавшей укороченную ссылку. Зачастую сам сервис сокращения адресов не несет ответственности за доставленный рекламный контент и официально предупреждает об этом в политиках конфиденциальности», – пояснил он.

Чтобы идентифицировать и удалить вирус, включая его динамически загружаемое рекламное ПО, необходимо сначала найти его среди установленных приложений, перейдя в «Настройки», а затем в «Приложения». Поскольку у вредоносного ПО нет значка или названия приложения, его легко обнаружить. Коснитесь один раз, чтобы выбрать, а затем нажмите кнопку «Удалить/Uninstall» и подтвердите запрос на удаление угрозы.