A utilização de serviços de encurtamento de URL é atualmente bastante comum. No entanto, segundo informações recentes, há técnicas publicitárias agressivas, como scarewarem que levam os utilizadores a instalar apps maliciosas.
Se tem um dispositivo Android ou com iOS tenha atenção aos links curtos.
A empresa de cibersegurança ESET descobriu que muitos dos serviços de encurtamento de URLs usam técnicas publicitárias agressivas, como scareware: anúncios que dizem aos utilizadores que os seus dispositivos estão infetados com malware perigoso, tentando convencê-los a instalar apps maliciosas ou participar em inquéritos duvidosos.
Outros anúncios indesejados apresentam conteúdo pornográfico, direcionam para serviços de SMS pagos, ativam notificações no browser ou oferecem prémios falsos.
A ESET descobriu também que alguns destes serviços descarregam ficheiros de calendário para dispositivos iOS e distribuem malware para Android, incluindo um bloqueador de anúncios falso que executa software malicioso adicional como trojans e adware agressivo recebido do seu servidor C&C (comando e controlo).
Os links encurtados podem ser um isco para o malware…
No primeiro caso, as vítimas têm que clicar no botão de subscrever para os seus calendários serem preenchidos com eventos que as informam falsamente que o seu dispositivo está infetado com malware e embebem links para mais scareware. Os utilizadores podem permanecer seguros não aceitando a subscrição do calendário ou, se já o fizeram, apagando os eventos importados sem clicar nos links embebidos.
O segundo caso é mais complicado: normalmente as vítimas pretendem obter uma app fora da loja oficial Google Play e acabam por instalar um bloqueador de anúncios falso que a ESET chama Android/FakeAdBlocker. Tal como no primeiro caso, este malware preenche o calendário da vítima com eventos de scareware, mas para além disso exibe anúncios no browser, notificações enganadoras, conteúdo pornográfico e um balão de diálogo que imita uma app de mensagens legítima.
A ESET identificou também centenas de instâncias em que foram descarregados trojans bancários mais perigosos. Os utilizadores afetados devem desinstalar o Android/FakeAdBlocker, que é identificável por não ter nem ícone nem nome na lista de apps.
Desinstalar o malware não remove os eventos de scareware que foram criados no calendário, sendo necessário apagá-los manualmente ou através de uma app. Se o Android/FakeAdBlocker tiver descarregado trojans no processo de infeção, estes também devem ser removidos.
Nos seguintes vídeos é feita uma demonstração de dois cenários de “ataques” com recurso a endereços encurtados.
A ESET recomenda evitar clicar em links contidos em anúncios de encurtadores de URLs, não aceitar subscrições a calendários indesejados no caso do iOS e só instalar apps da loja oficial Google Play no caso do Android. Para a máxima segurança, podem-se usar soluções como o ESET Mobile Security em combinação com estas recomendações.