Краткость — сестра трояна
Сервисы сокращения ссылок распространяют вирусы
Россия вошла в число стран, наиболее пострадавших от вируса, который распространяется через рекламу с использованием сервисов коротких ссылок. Они удобны для мошенников тем, что при блокировке генерируют новые ссылки. Среди самых популярных — «Кликер» «Яндекса», vk.cc «ВКонтакте», Bitly, Owly, to.click и другие. Подобные платформы берут комиссию за переходы по рекламным объявлениям и при этом не несут ответственности за их содержание.
Разработчик антивирусного программного обеспечения (ПО) ESET рассказал “Ъ”, что зафиксировал глобальный всплеск мошенничеств с использованием сервисов сокращения ссылок.
Злоумышленники генерируют в них ссылки и распространяют их под видом предложений о блокировке рекламы, установке VPN или антивируса. После перехода по такой ссылке на смартфоны загружается вредоносное ПО FakeAdBlocker.
С 1 января по 1 июля 2021 года было загружено более 150 тыс. экземпляров этого вируса на устройства Android, из которых 7,2% пришлось на Россию, что делает ее одной из наиболее пострадавших стран, рассказали в ESET.
Вирус FakeAdBlocker впервые был обнаружен в 2019 году, а пик загрузок пришелся на июнь 2021 года, следует из данных ESET. Он загружает на устройство трояны, нацеленные на кражу данных онлайн-банкинга, и заполняет календарь на смартфоне событиями со ссылками на другие вредоносные ресурсы.
FakeAdBlocker может также демонстрировать рекламу в произвольные моменты времени и способен установить в систему другие приложения по команде центра управления, добавляют в «Лаборатории Касперского».
По данным «Лаборатории Касперского», доля FakeAdBlocker составляет 13,6% от всех обнаруженных во втором квартале 2021 года «агрессивных» рекламных приложений, причем в первом квартале доля была ниже — 11,07%.
«Такие приложения навязчиво показывают рекламу, устанавливают другие приложения»,— пояснили в компании. Общее количество пользователей Avast во всем мире, защищенных от FakeAdBlocker, исчисляется сотнями тысяч, рассказал исследователь угроз этой компании Якуб Вавра.
Массовое заражение FakeAdBlocker через легальные сервисы сокращения ссылок стало возможным из-за несовершенства используемой ими модели, полагает руководитель направления ESET Threat Intelligence Александр Пирожков.
«Они действуют как посредники между покупателями и рекламодателями: рекламодатель платит за показ объявления на веб-сайте, при этом часть этой оплаты переходит стороне, создавшей укороченную ссылку, при этом сервис сокращения адресов не несет ответственности за рекламный контент»,— поясняет эксперт
По словам основателя SMMplanner Василия Крылова, исходно сервисы сокращения ссылок набрали популярность из-за ограничений по знакам в Twitter, до того как соцсеть перестала учитывать гиперссылки в сообщениях в 2016 году. Сейчас такие ссылки используются преимущественно в интернет-рекламе и SMM, объясняет эксперт, а также когда добавляют UTM-метки, позволяющие собрать информацию об источнике трафика, например «Яндекс.Директе».
В число самых популярных сервисов для сокращения ссылок входят «Кликер» «Яндекса», vk.cc «ВКонтакте», Bitly, Owly, to.click и другие. В «ВКонтакте» заявили, что ведут постоянный мониторинг и блокируют переход по опасным ссылкам. «Жалоб на данный вирус на нашей площадке не обнаружено»,— сообщили там. В «Яндексе» не ответили на запрос.
Услуга сервисов для сокращения ссылок легитимна, то есть привлечь их к ответственности просто невозможно, отметил эксперт по кибербезопасности «Лаборатории Касперского» Виктор Чебышев.
«Этот сервис крайне удобен для противодействия детектированию: стоит только заблокировать одну сокращенную ссылку, как появится новая, а сам домен типа goo.gl блокировать нельзя»,— сказал он. Гендиректор Infosecurity a Softline Company Кирилл Солодовников полагает, что массовые заражения связаны с «крайне низким уровнем цифровой гигиены» у пользователей, которые скачивают программы с сомнительных сайтов, не используют антивирусы и обходят встроенные механизмы защиты мобильной операционной системы.