A descoberta foi feita pela empresa de cibersegurança ESET que detetou, em muitos dos serviços de encurtamento de URLs analisados, o uso técnicas publicitárias agressivas, como scareware para Android e iOS (iPhone).
Por scareware entendam-se os anúncios que dizem aos utilizadores que os seus dispositivos estão infetados com malware perigoso. Isto para os tentar convencer a instalar apps maliciosas ou participar em inquéritos duvidosos (phishing).
O Scareware tem afetado tanto os dispositivos Android como iOS (iPhone)
Após o "susto" propositado são fornecidos "links" para a solução prometida. Estes, por norma, levam a páginas com anúncios indesejados. É frequente apresentarem conteúdo pornográfico, ou direcionarem para serviços de SMS pagos, ativar notificações no browser (navegador), ou oferecem prémios falsos. Estes são os principais "sintomas" apontados pela ESET.
Para esconder a ameaça são usados links encurtados
Note-se que os serviços de encurtamento de URLs podem ser muito úteis. Estes permitem reduzir o tamanho de URLs longos, recolher dados sobre os dispositivos dos visitantes ou até monetizar cliques. No entanto, estão agora a ser usados frequentemente para fins menos nobres.
Com efeito, a forma mais comum de monetização é apresentando anúncios ao utilizador que clica no URL encurtado. Desse modo, produzindo algum lucro para quem o gerou por cada publicidade apresentada.
No entanto, foi descoberto também que alguns destes serviços descarregam ficheiros de calendário para dispositivos iOS e distribuem malware para Android. Aqui incluindo um bloqueador de anúncios falso que executa software malicioso adicional como trojans e adware agressivo recebido do seu servidor C&C (comando e controlo).
URL curto é usado para infetar dispositivos iOS (iPhone) e Android
No primeiro caso, as vítimas têm que clicar no botão de subscrever. Isto para os seus calendários serem preenchidos com eventos que as informam falsamente que o seu dispositivo está infetado com malware e embebem links para mais scareware.
Os utilizadores podem permanecer seguros não aceitando a subscrição do calendário ou, se já o fizeram, apagando os eventos importados sem clicar nos links embebidos.
Instalar apps fora da Google Play Store é um risco para Android
O segundo caso é mais complicado. Por norma, as vítimas pretendem obter uma app fora da loja oficial Google Play e acabam por instalar um bloqueador de anúncios falso apelidado pela agência de segurança de Android/FakeAdBlocker.
Tal como no primeiro caso, este malware preenche o calendário da vítima com eventos de scareware. Contudo, para além disso exibe anúncios no browser, notificações enganadoras, conteúdo pornográfico e um balão de diálogo que imita uma app de mensagens legítima.
Foram também identificadas centenas de instâncias em que foram descarregados trojans bancários mais perigosos. Os utilizadores afetados devem desinstalar o Android/FakeAdBlocker. Algo que é identificável por não ter nem ícone, nem nome na lista de apps.
Desinstalar o malware não remove os eventos de scareware que foram criados no calendário, sendo necessário apagá-los manualmente ou através de uma app.
Se o Android/FakeAdBlocker tiver descarregado trojans no processo de infeção, estes também devem ser removidos.
A recomendação passa por evitar clicar em links contidos em anúncios de encurtadores de URLs. Por não aceitar subscrições a calendários indesejados no caso do iOS e só instalar apps da loja oficial Google Play no caso do Android.
Por fim, não sendo necessária uma solução de antivírus para Android, nem para iOS, é necessária uma boa dose de atenção a este tipo de ameaças. Estas são as conhecidas atualmente, mas surgirão certamente novos vetores de ataque.
Em síntese, é importante estarmos informados e suspeitar, não usar, ou rejeitar este tipo de "sustos" e alertas com segundas intenções.
Editores 4gnews recomendam:
- Xiaomi Redmi Buds 3 Pro: compra os novos earbuds TWS ao melhor preço!
- Google Chrome para iOS já permite bloquear separadores com o Face ID ou Touch ID
- Samsung Galaxy Buds 2: todas as cores e detalhes dos novos auriculares Bluetooth TWS
