Pull to refresh

Сеть сайтов, распространяющих вирусы под видом инструкций и прошивок для мобильных телефонов

Reading time 2 min
Views 2.6K
image
(Источник картинки)

Всё началось с того, что мне понадобился запасной мобильный телефон. Понимание необходимости запасной «звонилки» пришло после того, как разряжающийся под конец дня до потери сознания (буквально) смарт во второй раз оставил без связи в критической ситуации. Так или иначе, но выбор пал на МТС-252. Несмотря на то что использовать телефон с другими операторами я не собирался, хакер во мне потребовал поискать информацию о возможности и способе «отвязки» от МТС.



По запросу «мтс 252 разблокировка» третьей в выдаче оказалась ссылка i-manuals.ru/mod_4234/MTS-252. Пройдя по ссылке я был удивлён тем, что для такого простого телефона — даже без поддержки WAP и Java существует пять версий прошивки (причем судя по датам — новые версии выходят до 3-х раз в месяц), две программы для ПК — сервисная и обычная, и даже специальная версия QIP. Поначалу я не заметил подвоха, особенно вспомнив что в своё время в замечательный телефон Siemens SL45 путём перепрошивки добавлялись не только игры и программы, а даже поддержка Java и (невероятно, но факт!) — эмулятор СИМ-карт. Я решил на всякий случай скачать все версии прошивок. Немного странным, правда, показался одинаковый до байта размер скачанных файлов, но в случае с прошивками это бывает. Окончательно всё понятно стало после скачивания инструкции по подключению телефона к компьютеру — она тоже оказалась ZIP-архивом с совпадающим с «прошивками» до байта размером. После этого результат сканирования «прошивок» на virustotal не показался неожиданным.

Дальше — интересней. Если внимательно присмотреться к сайту i-manuals.ru, то становится понятно что перед нами — фальшивка для «впаривания» малвари под видом инструкций и прошивок к телефонам. Если же поискать по ключевым словам с сайта — становится понятен масштаб эпидемии: только на 1-й странице выдачи — 7 различных доменов с абсолютно одинаковым наполнением.

Честно говоря кроме основной цели — предупредить сообщество, я также прошу знающих людей подсказать возможные пути противодействия этой пакости. Дело в том, что в отличие от давешних мошенников, рассылавших Java-трояны под видом MMS, для takedown-а которых хватило одной абузы — создатели этого «сервиса» умеют хранить яйца в разных корзинах: хостинги и регистраторы у всех доменов разные (раз, два, три, четыре, и т.д.). Честно говоря — мне из способов борьбы в голову приходят только черные списки поисковиков («этот сайт может нанести вред вашему компьютеру»), но куда писать чтобы там оказались все сайты-фальшивки? Еще вроде как тут присутствуют представители антивирусной индустрии — может они могут как-то поспособствовать?

UPD: Пришел результат поведенческого анализа из GFI Sandbox. Желающие могут ознакомиться. Судя по скриншоту — похоже скорее не на вирус, а на архив-подделку: вероятнее всего если нажать «Извлечь» потребует отправить СМС для получения пароля на архив. Однако зачем тогда странная сетевая активность, перехват клавиатуры и странные записи в реестр? В общем — топик остро нуждается во внимании со стороны представителей антивирусных компаний. Ау! Отзовитесь пожалуйста!

UPD2: Как видно из комментария — в файлах действительно оказался фальшивый архив с требованием отправить СМС.

UPD3: Добавил ссылку на источник картинки.
Tags:
Hubs:
+38
Comments 55
Comments Comments 55

Articles