Por Daniel Medina Sarmiento<\/p>\n
ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, identific\u00f3 una agresiva amenaza basada en servicios acortadores de enlaces, que infecta los dispositivos, llev\u00e1ndolos a participar de encuestas sospechosas o redirigi\u00e9ndolos a la descarga de aplicaciones poco fiables, as\u00ed como distribuyendo contenido para adultos, ofreciendo iniciar suscripciones a servicios de SMS premium, y ejecutando payloads adicionales (como troyanos bancarios, troyanos SMS, y adware agresivo).<\/p>\n Los servicios acortadores de enlaces se utilizan para acortar URL muy largas, ocultar el nombre de dominio de la URL original, obtener m\u00e9tricas de los usuarios que abrieron el enlace o, en algunos casos, para incluso monetizar sus clics. La monetizaci\u00f3n significa que cuando alguien hace clic en dicho enlace se mostrar\u00e1 un anuncio, lo que generar\u00e1 ingresos para la persona que cre\u00f3 la URL abreviada.<\/p>\n Algunos de estos servicios para acortar enlaces identificados por ESET utilizan t\u00e9cnicas publicitarias agresivas, como los anuncios scareware: que son aquellos que buscan hacer creer a los usuarios que sus dispositivos han sido infectados con un malware peligroso, llev\u00e1ndolos a participar de encuestas sospechosas o redirigi\u00e9ndolos a la tienda de Google Play para que descarguen aplicaciones poco fiables, as\u00ed como distribuyendo contenido para adultos y ofreciendo iniciar suscripciones a servicios de SMS premium, haciendo que se habiliten notificaciones del navegador y distribuyendo ofertas dudosas para ganar supuestos premios.<\/p>\n Incluso ESET identific\u00f3 servicios que env\u00edan eventos de \u00abcalendario\u00bb a dispositivos iOS y distribuyen malware de Android; hasta un malware al que denominaron Android\/FakeAdBlocker, que descarga y ejecuta payloads adicionales (como troyanos bancarios, troyanos SMS, y adware agresivo) que recibe dede su servidor de C&C.<\/p>\n Android\/FakeAdBlocker generalmente oculta su \u00edcono de iniciador despu\u00e9s del lanzamiento inicial, ofrece scareware no deseado o anuncios de contenido para adultos y crea eventos de spam para los pr\u00f3ximos meses en los calendarios de iOS y Android. Estos anuncios a menudo cuestan dinero a sus v\u00edctimas al enviar mensajes SMS con tarifas especiales, suscribirse a servicios innecesarios o descargar troyanos bancarios Android, troyanos SMS y aplicaciones maliciosas. Adem\u00e1s, el malware utiliza servicios de acortador de URL para crear enlaces a anuncios, que en algunos casos monetizan sus clics.<\/p>\n Por Daniel Medina Sarmiento<\/p>\n Seg\u00fan la telemetr\u00eda de ESET, Android \/ FakeAdBlocker se detect\u00f3 por primera vez en septiembre de 2019 y, desde el 1 de enero hasta el 1 de julio de 2021, se descargaron m\u00e1s de 150.000 instancias de esta amenaza en dispositivos Android. Los pa\u00edses m\u00e1s afectados son Ucrania, Kazajst\u00e1n, Rusia, M\u00e9xico, Per\u00fa y Brasil. Aunque en la mayor\u00eda de los casos el malware muestra anuncios agresivos, ESET ha identificado cientos de casos en los que se descargaron y ejecutaron diferentes cargas \u00fatiles maliciosas, incluido el troyano bancario Cerberus, que se disfraz\u00f3 de diversas formas como Chrome, Android Update, Adobe Flash Player o Update Android. y descargado en dispositivos en Turqu\u00eda, Polonia, Espa\u00f1a, Grecia e Italia. ESET tambi\u00e9n vio c\u00f3mo se descargaba el troyano Ginp en Grecia y Oriente Medio.<\/p>\n \u00abSeg\u00fan nuestra telemetr\u00eda, parece que muchos usuarios tienden a descargar aplicaciones de Android desde fuera de Google Play, lo que podr\u00eda llevarlos a descargar aplicaciones maliciosas entregadas a trav\u00e9s de pr\u00e1cticas publicitarias agresivas que se utilizan para generar ingresos para sus autores<\/em>\u00ab, explica el investigador de ESET, Luk\u00e1\u0161 \u0160tefanko, que analiz\u00f3 Android \/ FakeAdBlocker. Al comentar sobre la monetizaci\u00f3n de los enlaces URL acortados, \u0160tefanko a\u00f1ade: \u201cCuando alguien hace clic en dicho enlace, se mostrar\u00e1 un anuncio que generar\u00e1 ingresos para la persona que gener\u00f3 el URL acortado. El problema es que algunos de estos servicios de acortador de enlaces utilizan t\u00e9cnicas publicitarias agresivas, como anuncios de scareware que informan a los usuarios que sus dispositivos est\u00e1n infectados con malware peligroso\u00bb<\/em>.<\/p>\n El equipo de investigaci\u00f3n de ESET identific\u00f3 servicios de acortador de enlaces que env\u00edan eventos a los calendarios de iOS y distribuyen el malware Android \/ FakeAdBlocker que se puede iniciar en dispositivos Android. En los dispositivos iOS, adem\u00e1s de inundar a las v\u00edctimas con anuncios no deseados, estos v\u00ednculos pueden crear eventos en los calendarios de las v\u00edctimas descargando autom\u00e1ticamente un archivo de calendario ICS.<\/p>\n \u201cCrea 18 eventos que ocurren todos los d\u00edas, cada uno de los cuales dura 10 minutos<\/em>\u201d, dice \u0160tefanko. \u201cSus nombres y descripciones sugieren que el tel\u00e9fono inteligente de la v\u00edctima est\u00e1 infectado, los datos de la v\u00edctima est\u00e1n expuestos en l\u00ednea o una aplicaci\u00f3n de protecci\u00f3n antivirus ha caducado. Las descripciones de cada evento incluyen un enlace que lleva a la v\u00edctima a visitar un sitio web de publicidad de scareware. Ese sitio web nuevamente afirma que el dispositivo ha sido infectado y ofrece al usuario la opci\u00f3n de descargar aplicaciones m\u00e1s limpias de Google Play<\/em>\u00ab.<\/p>\n Para las v\u00edctimas que usan dispositivos Android, la situaci\u00f3n es m\u00e1s delicada porque estos sitios web fraudulentos pueden proporcionar una aplicaci\u00f3n maliciosa para descargar fuera de la tienda Google Play. En uno de los casos analizados, el sitio web solicita descargar una aplicaci\u00f3n llamada \u00abadBLOCK<\/a>\u00ab, que no tiene nada que ver con la aplicaci\u00f3n leg\u00edtima y, de hecho, hace lo contrario de bloquear anuncios. En otro caso, cuando las v\u00edctimas proceden a descargar el archivo solicitado, se les muestra una p\u00e1gina web que describe los pasos para descargar e instalar una aplicaci\u00f3n maliciosa con el nombre \u00abSu archivo est\u00e1 listo para descargar\u00bb. En ambos escenarios, un anuncio de scareware, o el troyano Android \/ FakeAdBlocker, se entrega a trav\u00e9s de un servicio de acortador de URL.<\/p>\n Para conocer m\u00e1s sobre seguridad inform\u00e1tica ingrese al portal de noticias de ESET: https:\/\/www.welivesecurity.com\/la-es\/2021\/07\/20\/servicios-acortar-enlaces-distribuyen-malware-android-incluyendo-troyanos-bancarios\/<\/a><\/p>\n Por otro lado, ESET invita a conocer Conexi\u00f3n Segura<\/strong><\/a>, su podcast para saber qu\u00e9 est\u00e1 ocurriendo en el mundo de la seguridad inform\u00e1tica. Para escucharlo ingrese a: https:\/\/open.spotify.com\/episode\/2NB2rgkNqfv2QhWktmotF2?go=1&utm_source=embed_v3&t=0&nd=1<\/a><\/p>\n Por Daniel Medina Sarmiento<\/p>\n","protected":false},"excerpt":{"rendered":" Por Daniel Medina Sarmiento ESET, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, identific\u00f3 una agresiva amenaza basada en servicios acortadores de enlaces, que infecta los dispositivos, llev\u00e1ndolos a participar de encuestas sospechosas o redirigi\u00e9ndolos a la descarga de aplicaciones poco fiables, as\u00ed como distribuyendo contenido para adultos, ofreciendo iniciar suscripciones a servicios de SMS premium, […]<\/p>\n","protected":false},"author":2,"featured_media":10551,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[146],"tags":[1605,8981,988,1538],"wppr_data":{"cwp_meta_box_check":"No"},"_links":{"self":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/10550"}],"collection":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/comments?post=10550"}],"version-history":[{"count":1,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/10550\/revisions"}],"predecessor-version":[{"id":10552,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/10550\/revisions\/10552"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media\/10551"}],"wp:attachment":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media?parent=10550"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/categories?post=10550"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/tags?post=10550"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}