A empresa de cibersegurança ESET descobriu que muitos dos serviços de encurtamento de URLs usam técnicas publicitárias agressivas, como scareware: anúncios que dizem aos utilizadores que os seus dispositivos estão infetados com malware perigoso, tentando convencê-los a instalar apps maliciosas ou participar em inquéritos duvidosos. Outros anúncios indesejados apresentam conteúdo pornográfico, direcionam para serviços de SMS pagos, ativam notificações no browser ou oferecem prémios falsos.
Os serviços de encurtamento de URLs podem ser muito úteis, permitindo reduzir o tamanho de URLs longos, recolher dados sobre os dispositivos dos visitantes ou até monetizar cliques. A forma mais comum de monetização é apresentando anúncios ao utilizador que clica no URL encurtado, produzindo algum lucro para quem o gerou.
No entanto, ESET descobriu também que alguns destes serviços descarregam ficheiros de calendário para dispositivos iOS e distribuem malware para Android, incluindo um bloqueador de anúncios falso que executa software malicioso adicional como trojans e adware agressivo recebido do seu servidor C&C (comando e controlo).
No primeiro caso, as vítimas têm que clicar no botão de subscrever para os seus calendários serem preenchidos com eventos que as informam falsamente que o seu dispositivo está infetado com malware e embebem links para mais scareware. Os utilizadores podem permanecer seguros não aceitando a subscrição do calendário ou, se já o fizeram, apagando os eventos importados sem clicar nos links embebidos.
O segundo caso é mais complicado: normalmente as vítimas pretendem obter uma app fora da loja oficial Google Play e acabam por instalar um bloqueador de anúncios falso que a ESET chama Android/FakeAdBlocker. Tal como no primeiro caso, este malware preenche o calendário da vítima com eventos de scareware, mas para além disso exibe anúncios no browser, notificações enganadoras, conteúdo pornográfico e um balão de diálogo que imita uma app de mensagens legítima.
A ESET identificou também centenas de instâncias em que foram descarregados trojans bancários mais perigosos. Os utilizadores afetados devem desinstalar o Android/FakeAdBlocker, que é identificável por não ter nem ícone nem nome na lista de apps. Desinstalar o malware não remove os eventos de scareware que foram criados no calendário, sendo necessário apagá-los manualmente ou através de uma app. Se o Android/FakeAdBlocker tiver descarregado trojans no processo de infeção, estes também devem ser removidos.
A ESET recomenda evitar clicar em links contidos em anúncios de encurtadores de URLs, não aceitar subscrições a calendários indesejados no caso do iOS e só instalar apps da loja oficial Google Play no caso do Android. Para a máxima segurança, podem-se usar soluções como o ESET Mobile Security em combinação com estas recomendações. Screenshots e detalhes do malware aqui descrito encontram-se aqui(artigo em inglês).