«Лаборатория Касперского» corporate blog
29 December 2011

Черное SEO с мобильным подтекстом

В последнее время пользователям мобильного интернета нельзя и шагу ступить, чтобы не напороться на молниеносное заражение системы. Об этом уже сказано немало. В этом посте мы рассмотрели один из популярных запросов в Google и узнали, что результаты по нему выдаются весьма интересные. Для исследования был использован браузер Mozilla Firefox с установленным плагином «User Agent Switcher». В этом плагине можно выставлять произвольный user-agent. Чтобы сымитировать работу смартфона, был выставлен такой user-agent, как будто браузер работает с мобильного устройства под управлением Android:

“userAgent : Mozilla/5.0 (Linux; U; Android 1.5; de-ch; HTC Hero Build /CUPCAKE) AppleWebKit/528.5+ (KHTML, like Gecko) Version/3.1.2 Mobile Safari/525.20.1”

Чтобы найти малвару, в Google был введен достаточно популярный запрос «opera mini скачать»:
image

Сразу же удивляет отсутствие официального сайта Opera. Вместо этого на первой строке присутствует объявление «OperaMini бесплатно», которое, якобы, ведет на сайт www.ebay.ru, но на самом деле, если кликнуть по ссылке, то произойдет переход на ebay*****.biz, с которого будет осуществляться скачивание зловреда. Уже на первый взгляд видно, что и большинство остальных ссылок ведет на вредоносные ресурсы. Некоторые домены расположены в доменных зонах .in, .ws, а некоторые называются наподобие «getoperafree» и т.д.

image
image
image

Все эти сайты сделаны однотипно, и на всех содержится ссылка на скачку «Opera Mini». Как и ожидалось, скачивается вредоносный .apk-файл. Основное его назначение — отправка СМС на короткий номер. Содержимое конфига, содержащего номера, и текст сообщений закодированы base64:

image

После преобразования это выглядит так:

image

Сам код, выполняющий отправку сообщений, выглядит следующим образом:

image

Мобильный сектор интернета сейчас просто полон заразы и практически на любой запрос на первой странице Google можно будет обнаружить вредоносную ссылку.

image
image

По двум запросам, которые даже не связаны с софтом, все равно выдаются страницы, с которых можно получить зловреда. Поэтому следует быть аккуратнее — использовать антивирус, не устанавливать неизвестные приложения, смотреть на права, которые требуются приложению.

+22
18.9k 15
Comments 46