Черное SEO с мобильным подтекстом

    В последнее время пользователям мобильного интернета нельзя и шагу ступить, чтобы не напороться на молниеносное заражение системы. Об этом уже сказано немало. В этом посте мы рассмотрели один из популярных запросов в Google и узнали, что результаты по нему выдаются весьма интересные. Для исследования был использован браузер Mozilla Firefox с установленным плагином «User Agent Switcher». В этом плагине можно выставлять произвольный user-agent. Чтобы сымитировать работу смартфона, был выставлен такой user-agent, как будто браузер работает с мобильного устройства под управлением Android:

    “userAgent : Mozilla/5.0 (Linux; U; Android 1.5; de-ch; HTC Hero Build /CUPCAKE) AppleWebKit/528.5+ (KHTML, like Gecko) Version/3.1.2 Mobile Safari/525.20.1”

    Чтобы найти малвару, в Google был введен достаточно популярный запрос «opera mini скачать»:
    image

    Сразу же удивляет отсутствие официального сайта Opera. Вместо этого на первой строке присутствует объявление «OperaMini бесплатно», которое, якобы, ведет на сайт www.ebay.ru, но на самом деле, если кликнуть по ссылке, то произойдет переход на ebay*****.biz, с которого будет осуществляться скачивание зловреда. Уже на первый взгляд видно, что и большинство остальных ссылок ведет на вредоносные ресурсы. Некоторые домены расположены в доменных зонах .in, .ws, а некоторые называются наподобие «getoperafree» и т.д.

    image
    image
    image

    Все эти сайты сделаны однотипно, и на всех содержится ссылка на скачку «Opera Mini». Как и ожидалось, скачивается вредоносный .apk-файл. Основное его назначение — отправка СМС на короткий номер. Содержимое конфига, содержащего номера, и текст сообщений закодированы base64:

    image

    После преобразования это выглядит так:

    image

    Сам код, выполняющий отправку сообщений, выглядит следующим образом:

    image

    Мобильный сектор интернета сейчас просто полон заразы и практически на любой запрос на первой странице Google можно будет обнаружить вредоносную ссылку.

    image
    image

    По двум запросам, которые даже не связаны с софтом, все равно выдаются страницы, с которых можно получить зловреда. Поэтому следует быть аккуратнее — использовать антивирус, не устанавливать неизвестные приложения, смотреть на права, которые требуются приложению.
    «Лаборатория Касперского»
    267,47
    Ловим вирусы, исследуем угрозы, спасаем мир
    Поделиться публикацией

    Комментарии 46

    • НЛО прилетело и опубликовало эту надпись здесь
        +13
        Гуглу нужно этим заняться, а не пользователю.
          +2
          Яндекс уже занялся
            +2
            Ну вот я отправлял на гугль про [самсунг]kies.ru самсунг ==> samsung. Там фишер… И что — толку 0.
            +3
            Вообще есть же «Сообщить о мошенническом веб-сайте», ну и далее делаем мир чище.
            +5
            а если
            не устанавливать неизвестные приложения, смотреть на права, которые требуются приложению.

            то зачем антивирус?
              +7
              Как зачем? Чтобы у Касперского все было хорошо и не иссякал денежный поток!
                +4
                А если не делать глупости, то зачем юристы по вопросам браков/разводов нужны?
                А если программисты и проектировщики не будут глупости делать, то зачем тестировщики нужны?
                А если вести правильную мирную жизнь, то зачем армии нужны?
                –18
                О кстати, может лаборатория Касперского поможет мне.
                Есть у меня знакомая девушка, она учится на гуманитарной специальности и любит пользуется одной популярной российской соцсетью. Ей нравится использовать эту сеть, но оттуда нельзя просто так скачивать музыку, кино. Для этого она использует различные программы которые находит в яндексе. При этом её операционная система регулярно выходит из строя и поставляет мне огромные пачки зловредов на изучение. Мне приходится переустановить операционную систему и сносить всё исполняемое с жёсткого диска, оставив только фото и видео.
                Так вот она свято уверена что антивирус её убережёт от всяческих проблем, и просит меня установить таковой. Платных решений не приобретал, но авиру и аваст ставил. Они даже превосходно детектируют огромное количество малвари, но вот в чём загвозтка, видео то с контактика сохранять хочется, а злой и плохой антивирус не даёт. Это плохой антивирус, раз он не может блокировать неправильное поведение программы, и давать использовать правильное. То что это невозможно не укладывается в сознании бедной девушки, т.к. реклама антивирусов обещает ей прекрасное свободное пользование компьютером и то что антивирус защитит компьютер. Вот такая вот печальная история.
                  +4
                  А в чем вопрос?
                    –2
                    как быть и что делать?
                      +1
                      Зависит от того — красивая девушка или нет ))
                        +1
                        Разве степень красивости не зависит от объема алкоголя в крови испытателя?
                          +1
                          не путайте множитель со значением ;)
                        +1
                        Установите девушке юзерскрипт или дополнение для соцсети, благо таких валом (а уж для скачивания — и подавно).

                        Большой плюс такого решения — исходники вы сможете посмотреть и поправить в случае чего.
                      +3
                      Откройте для себя и для нее заодно расширения в браузере. Ну или в крайнем случае VKMusic.
                        +1
                        Научите девушку компьютерной грамотности и сетевой безопасности.
                        Или просто отберите комп.
                          +2
                          Ох уж эта «популярная сеть»
                          Вот вам VKsaver audiovkontakte.ru/
                          Больше года стоит и никаких проблем с ней еще не возникало ;)
                            +1
                            Плагин к AIMP
                              –1
                              О УЖАС!!!
                              Да не просил я способа сохранять музыку. Не в музыке дело. Точно также потом ищется «программа для чтения fb2» или всё что угодно, где свирепствуют подложные страницы.
                                0
                                Вы чем-то недовольны? Вам предложили насильственным(или нет) методом дать подруге эти программы и сказать что бы кроме этих ничего не использовала. Все.
                                Если подруга не дура то все поймет и не будет при их наличии лазить по инету в поисках как бы еще можно было скачать.
                              0
                              О чем статья то вообще? :)
                                +15
                                как бэ намекает — не парь мозги — купи айфон =)
                                +6
                                Интересно, зачем вообще искать Оперу Мини в гугле, а не качать ее из Андроид-маркета?
                                За 2 года использования своего телефона, никогда не было такой необходимости )
                                  +1
                                  На китай-таблетках нет маркета, и обычным пользователям даже не нужно задумываться о получении прав рута и нелегальной установки маркета.
                                    +3
                                    внезапно, уже даже на самой дешёвой китай-таблетке есть аж целых два маркета (официальный и китайский левый)
                                    +1
                                    Наверное потому что у миллионов людей просто телефон с поддержкой java. Не смартфон. Да и не андройдом едины.
                                      0
                                      ага, а с офф сайта скачать видимо религия не позволяет.
                                        +1
                                        На официальном сайте не написано «скачать опера мини бесплатно». Про то, что брать нужно на официальном сайте народ не догадывается. Они берут «в интернете», а ищут как понимают или привыкли. Так ищут огромное кол-во людей, потому столько фишинговых сайтов.
                                    +2
                                    Рекомендую еще включить, если еще этого не сделали, «Запрет отправки SMS на короткие номера» (у всех операторов по-разному называется: Запрет доступа к платным (контентным) SMS услугам, Запрет отправки развлекательных SMS, Запрет передачи SMS на номера контент-провайдеров и т.д.).
                                    У каждого оператора свой USSD запрос, поэтому не пишу тут, его легко найти на сайте оператора.

                                    P.S. Конечно кто иногда отсылает sms вручную, когда нужно, это не подойдет.
                                      0
                                      Сделал именно так, теперь ставлю антивирусы под Android и проверяю их на выявление угроз…
                                      Сработали только два бесплатных решения от dr.web и LookOut.
                                      Остальные даже при прямом скармливании ни пискнули.
                                      Платные решения еще не проверял.
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                      • НЛО прилетело и опубликовало эту надпись здесь
                                        +1
                                        Яндекс вроде успешно стал бороться с этой гадостью. Странно что Гугл ещё не сделал фильтр…
                                          +2
                                          Всё сводится к простой истине — устанавливайте приложение только из Android market, или хотя бы профильных форумов вроде 4pda. Не придется ставить антивирусов, и прочую чушь.
                                            +1
                                            на 4pda тоже попадаются ;)
                                              0
                                              Да и в Маркете они встречаются, чего уж там. Но вероятность, конечно, значительно ниже, да.
                                            +4
                                            Иногда на эту дрянь редиректит и с нормальных сайтов. И, да, скачивается суровая челябинская «опера мини», которой даже не требуется доступ в интернет.
                                            Пруфпик: cs5145.vkontakte.ru/u1708231/-7/y_453108f0.jpg
                                            Чтобы установить ЭТО, нужно быть полным идиотом. Антивирусы не нужны. Нужны прямые руки из нужного места.
                                              +1
                                              о нет! в интернете можно подцепить заразу! этого уму не постижимо!
                                                +1
                                                > В этом посте мы рассмотрели один из популярных запросов в Google

                                                OMG! Да уже несколько лет мошенники тренируются подсовывать свои псевдо-официальные сайты и супер-новые разработки в поисковую выдачу. Даже с юзер-агентом броузера шаманить не надо.

                                                Запускаем браузер, вводим «скачать аську на телефон» или «скачать мобильный агент» и получаем поисковую выдачу на треть состоящую из мошеннических сайтов, которые предлагают скачать программу, отправляющую премиум-смс.

                                                На этом фоне реклама браузера Гугл-Хром по телевизору со словами что поисковый запрос можно вводить в адресную строку особенно доставляет. Вводить-то можно. Но получить искомое?
                                                  +1
                                                  Мне больше доставляют suggestions с фразами «скачать qip бесплатно», «скачать notepad++ бесплатно» и даже «скачать paint.net бесплатно» =)
                                                  +1
                                                  В cyanogenmod'е можно поменять user-agent. Я выставил себе «iPhone»: версии сайтов как открывались мобильные, так и открываются (все сайты, мобильные версии которых я посещаю, отображаются нормально, про «совсем все» не ручаюсь) + эта «опера» перестала из всех щелей лезть.
                                                    –1
                                                    В последнее время пользователям мобильного интернета нельзя и шагу ступить, чтобы не напороться на молниеносное заражение системы.

                                                    — по-моему это называется «враньё»
                                                      0
                                                      Руководитель Google по работе с открытым ПО Крис Дибона (Chris DiBona) назвал производителей антивирусов для мобильных устройств «шарлатанами и мошенниками» (charlatans and scammers).

                                                      «Антивирусные компании играют на ваших страхах, чтобы продавать бесполезную защиту для Android, RIM и iOS», — пишет Дибона в своем блоге на Google+. «Они шарлатаны и мошенники. Если вы работаете в компании, которая продает защиту от вирусов для Android, RIM или iOS, вам должно быть стыдно».

                                                      По мнению Дибоны, хотя вредоносное ПО на мобильных устройствах — не миф, однако оно крайне редко создает реальные проблемы для пользователей: «Ни у одной мобильной платформы не существует “вирусной” проблемы, с которой сталкиваются компьютеры на Windows и некоторые Маки. Известные проблемы незначительны из-за используемой (при запуске приложений в мобильных ОС — прим. CNews) модели “песочницы”».

                                                      В газете The Register, проанализировавшей выступление Криса Дибоны, предположили, что его резкое заявление было спровоцировано исследованием Juniper Networks, опубликованным неделей раньше.

                                                      Согласно отчету Juniper, за три с половиной месяца (с июля 2011 г.) количество вредоносного ПО, написанного для платформы Android возросло н а472%. При этом, замечают исследователи, хорошую возможность распространения вредоносного ПО для Android предоставляет Android Market, придерживающийся менее строгой модели проверки кода, чем, например, App Store платформы iOS.

                                                      [Крис Дибона говорит, что производителям антивирусов для смарфтонов должно стать стыдно]
                                                      Крис Дибона говорит, что производителям антивирусов для смарфтонов должно стать стыдно

                                                      К нынешнему моменту известно, что защитное ПО для Android выпустили большинство антивирусных производителей. В частности, известно о разработках Symantec, F-Secure, «Лаборатории Каспесркого» и «Доктора Веб».

                                                      «Чтобы понять, что же хочет сказать Дибона, надо читать очень внимательно», — говорит Сергей Комаров, руководитель отдела антивирусных разработок и исследований «Доктор Веб»: «Дибона признает, что вредоносное программное обеспечение для Android существует, но оно не является вирусом в том его понимании, какое удобно Дибоне. Не знаю, успокоит ли пользователя, установившего в свой смартфон троянца, рассылающего платные SMS или похищающего его личные данные тот факт, что это не вирус и что представитель Google заверяет, что этот троянец не зайдет слишком далеко в его системе. Думаю, вряд ли, урон деньгам или данным будет нанесен и так».

                                                      Android стал самой популярной платформой у киберпреступников по всем показателям: «и по общему числу зловредов за месяц, и по общему числу зловредов, обнаруженных за все время», — утверждает ведущий антивирусный эксперт «Лаборатории Касперского» Денис Масленников. По данным «Лаборатории», число вредоносных программ для Android составляет порядка 56% от общего числа вредоносных программ для мобильных устройств.

                                                      Подробнее: open.cnews.ru/news/top/index.shtml?2011/11/28/466022
                                                      +3
                                                      Если бы Касперский, например, сажал (способствовал этому) в тюрьму авторов СМС-партнерок, они бы были хорошей и уважаемой компанией. Если бы антивирусные компании объединились и оказали давление (информационное, а также юридические угрозы) на разработчиков крупных операционных систем с целью улучшения архитектуры, повышения безопасности, выплаты возмещений всем пользователям за ненадлежащее и безответственное отношение к разработке ПО, допушение серьезных уязвимостей и недостатков, они бы были уважаемые компании. (правда, возможно, не такие богатые). А вот попытка впарить лохам-юзерам бесполезный программный продукт вместо решения проблемы выглядит как попытка нажиться на той же проблеме и ставит их (в какой-то мере) в один ряд со злоумышленниками.

                                                      Насколько я понимаю, на Андроиде, при всех его недостатках, все же нельзя установить apk файл с левого сайта, если перед этим не разрешить установку сторонних приложений. Разрешают такую установку только маленький процент людей, которые считают, что они хорошо разбираются в технике. Ну что ж, надеюсь, неожиданное уменьшение количества денег на счету мобильного устройтсва поможет им обрести более реалистичный взгляд на свои способности.

                                                      И я считаю, такие переключатели (разрешить установку сторонних приложений) долдны быть недоступны через графический интерфейс телефона — пусть через командную строку или USB их ставят, чтобы мирные пользователи не могли таким образом сломать свой телефон.
                                                        0
                                                        Адово плюсую за Smells like teen spirit!

                                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                        Самое читаемое