Identificaron servicios para acortar URL que distribuyen malware

Se halló una nueva amenaza basada en servicios que acortan enlaces: infectan dispositivos y deriva al usuario a participar de encuestas sospechosas o bien lo redirige a la descarga de aplicaciones poco fiables. También distribuye contenido para adultos y ofrece iniciar suscripciones a servicios de SMS premium, y ejecutando payloads adicionales (como troyanos bancarios, troyanos SMS, y adware agresivo), según una investigación realizada por Eset.

Los servicios acortadores de enlaces se utilizan para reducir URL muy largas, ocultar el nombre de dominio de la URL original, obtener métricas de los usuarios que abrieron el enlace o, en algunos casos, para monetizar los clics. La monetización significa que cuando alguien hace clic en dicho enlace se mostrará un anuncio, lo cual generará ingresos para la persona que creó la URL abreviada.

Algunos de estos servicios para acortar enlaces identificados por la compañía de ciberseguridad utilizan técnicas publicitarias agresivas, como los anuncios scareware: que son aquellos que buscan hacer creer a los usuarios que sus dispositivos fueron infectados con un malware peligroso, llevándolos a participar de encuestas sospechosas. En otros casos los redirige a la tienda de Google Play para que descarguen aplicaciones poco fiables. También distribuye contenido para adultos y ofrece iniciar suscripciones a servicios de SMS premium, haciendo que se habiliten notificaciones del navegador y distribuyendo así ofertas dudosas para ganar supuestos premios.

También se identificaron servicios que envían eventos de “calendario” a dispositivos iOS y distribuyen malware de Android; entre ellos uno denominado Android/FakeAdBlocker, que descarga y ejecuta payloads adicionales (como troyanos bancarios, troyanos SMS, y adware agresivo).

Android/FakeAdBlocker suele ocultar su ícono de luego del lanzamiento inicial, ofrece scareware no deseado o anuncios de contenido para adultos y crea eventos de spam para los próximos meses en los calendarios de iOS y Android.

Esos anuncios implican mensajes SMS con tarifas especiales, o la invitación a suscripciones a servicios innecesarios o descargar troyanos bancarios Android, troyanos SMS y aplicaciones maliciosas. Además, el malware utiliza servicios de acortador de URL para crear enlaces a anuncios, que en algunos casos monetizan sus clics.

Según la investigación, Android/FakeAdBlocker se detectó por primera vez en septiembre de 2019 y, desde el 1 de enero hasta el 1 de julio de 2021, se descargaron más de 150.000 instancias de esta amenaza en dispositivos Android. Los países más afectados son Ucrania, Kazajstán, Rusia, Vietnam, India, México y Estados Unidos.

Aunque en la mayoría de los casos el malware muestra anuncios agresivos, se identificaron cientos de casos en los que se descargaron y ejecutaron diferentes cargas útiles maliciosas, incluido el troyano bancario Cerberus, que se disfrazó de diversas formas como Chrome, Android Update, Adobe Flash Player o Update Android.

En la investigación se identificaron servicios de acortador de enlaces que envían eventos a los calendarios de iOS y distribuyen el malware Android/FakeAdBlocker que se puede iniciar en dispositivos Android. En los dispositivos iOS, además de llenar a las víctimas con anuncios no deseados, estos vínculos pueden crear eventos en los calendarios de las víctimas descargando automáticamente un archivo de calendario ICS.

“Crea 18 eventos que ocurren todos los días, cada uno de los cuales dura 10 minutos”, asegura el investigador de ESET, Lukáš Štefanko. Y añade: “Sus nombres y descripciones sugieren que el teléfono inteligente de la víctima está infectado, los datos de la víctima están expuestos en línea o una aplicación de protección antivirus ha caducado. Las descripciones de cada evento incluyen un enlace que lleva a la víctima a visitar un sitio web de publicidad de scareware. Ese sitio web nuevamente afirma que el dispositivo ha sido infectado y ofrece al usuario la opción de descargar aplicaciones más limpias de Google Play”.

Para las víctimas que usan dispositivos Android, la situación es más delicada porque estos sitios web fraudulentos pueden proporcionar una aplicación maliciosa para descargar fuera de la tienda Google Play. En uno de los casos analizados, el sitio web solicita descargar una aplicación llamada “adBLOCK”, que no tiene nada que ver con la aplicación legítima y, de hecho, hace lo contrario de bloquear anuncios.

En otro caso, cuando las víctimas proceden a descargar el archivo solicitado, se les muestra una página web que describe los pasos para descargar e instalar una aplicación maliciosa con el nombre “Su archivo está listo para descargar”. En ambos escenarios, un anuncio de scareware, o el troyano Android / FakeAdBlocker, se entrega a través de un servicio de acortador de URL.

Seguir leyendo: