V Česku analytici detekují řádově stovky případů instalací do telefonů s Androidem.
Analytici společnosti ESET varují před podvodnými zkracovači URL. Jejich prostřednictvím šíří útočníci škodlivý kód FakeAdBlocker, který vydávají za aplikaci k blokování reklam, ve skutečnosti ale z řídicího serveru stahuje do infikovaného zařízení další rizikový obsah a malware, zejména pak nebezpečný bankovní trojský kůň Cerberus. FakeAdBlocker představuje riziko pro mobilní telefony s operačními systémy Android i iOS.
FakeAdBlocker byl poprvé zachycen v září 2019. Mezi lednem a červencem 2021 si tuto hrozbu uživatelé do svých zařízení stáhli více než 150 000krát. Mezi nejvíce zasažené země patří Ukrajina, Kazachstán, Rusko, Vietnam, Indie, Mexiko a Spojené státy. V Česku analytici detekují řádově stovky případů instalací do telefonů s Androidem.
Malware je posledním článkem poměrně dlouhého distribučního řetězce. Na jeho počátku je podvodný zkracovač URL adres. Uživatel klikne na reklamu na internetu, v e-mailu či na sociální síti. Původní stránka, kam měl odkaz směřovat, mohla být dokonce i zcela neškodná. Podvodný zkracovač zobrazí uživateli škodlivý obsah nebo uživatele vyzve ke stažení malware. Reakce zkracovače se liší podle typu operačního systému, všechny scénáře ale vedou k obohacení útočníků.
V případě telefonu s iOS vede prokliknutí k zobrazení nevyžádaných reklam. Do zařízení se také automaticky stáhne ICS soubor a uživateli vyskočí na displeji výzva k přihlášení a pokud ji potvrdí, soubor se spustí a zahltí kalendář uživatele. Všechny události mají monetizační úlohu – jde buď o odkazy, jejichž prokliknutí je zpoplatněno, nebo například o odkazy na placené služby.
V případě telefonů s Androidem je distribuce malware FakeAdBlockeru podobná. Zařízení je buď zahlceno reklamou, nebo je uživateli nabídnuta ke stažení aplikace adBLOCK app.apk. Jedná se ovšem o malware z neoficiálního zdroje, útočníci aplikaci propagují jako nástroj k blokování reklamy. Aplikaci, která se stáhne a nainstaluje, detekují experti jako Android/FakeAdBlocker. Ve většině případů se zobrazují reklamy na obsah pro dospělé nebo scareware, který má uživatele vyděsit, v tomto případě sdělením, že je zařízení infikované nebo má dojít k blokaci SIM karty.
Bez ohledu na operační systém je součástí distribuce zahlcení kalendáře v infikovaném zařízení. Každá událost obsahuje nějaké urgentní sdělení a také odkaz na škodlivé webové stránky. Analytici identifikovali také stovky případů, kdy FakeAdBlocker stahoval a spouštěl další škodlivý kód, včetně bankovního trojského koně Cerberus. Zejména se tak dělo v Turecku, Polsku, Španělsku, Řecku a Itálii. S tímto trojským koněm se potýkají i uživatelé v České republice, byť se šíří jiným způsobem. Cílem Cerbera je okradení oběti, obsahuje funkce pro odcizení přihlašovacích údajů z legitimních webových stránek bank nebo pro obcházení dvoufázového ověření platby.