Pull to refresh
«Лаборатория Касперского»
Ловим вирусы, исследуем угрозы, спасаем мир

Черное SEO с мобильным подтекстом

Reading time 2 min
Views 19K
В последнее время пользователям мобильного интернета нельзя и шагу ступить, чтобы не напороться на молниеносное заражение системы. Об этом уже сказано немало. В этом посте мы рассмотрели один из популярных запросов в Google и узнали, что результаты по нему выдаются весьма интересные. Для исследования был использован браузер Mozilla Firefox с установленным плагином «User Agent Switcher». В этом плагине можно выставлять произвольный user-agent. Чтобы сымитировать работу смартфона, был выставлен такой user-agent, как будто браузер работает с мобильного устройства под управлением Android:

“userAgent : Mozilla/5.0 (Linux; U; Android 1.5; de-ch; HTC Hero Build /CUPCAKE) AppleWebKit/528.5+ (KHTML, like Gecko) Version/3.1.2 Mobile Safari/525.20.1”

Чтобы найти малвару, в Google был введен достаточно популярный запрос «opera mini скачать»:
image

Сразу же удивляет отсутствие официального сайта Opera. Вместо этого на первой строке присутствует объявление «OperaMini бесплатно», которое, якобы, ведет на сайт www.ebay.ru, но на самом деле, если кликнуть по ссылке, то произойдет переход на ebay*****.biz, с которого будет осуществляться скачивание зловреда. Уже на первый взгляд видно, что и большинство остальных ссылок ведет на вредоносные ресурсы. Некоторые домены расположены в доменных зонах .in, .ws, а некоторые называются наподобие «getoperafree» и т.д.

image
image
image

Все эти сайты сделаны однотипно, и на всех содержится ссылка на скачку «Opera Mini». Как и ожидалось, скачивается вредоносный .apk-файл. Основное его назначение — отправка СМС на короткий номер. Содержимое конфига, содержащего номера, и текст сообщений закодированы base64:

image

После преобразования это выглядит так:

image

Сам код, выполняющий отправку сообщений, выглядит следующим образом:

image

Мобильный сектор интернета сейчас просто полон заразы и практически на любой запрос на первой странице Google можно будет обнаружить вредоносную ссылку.

image
image

По двум запросам, которые даже не связаны с софтом, все равно выдаются страницы, с которых можно получить зловреда. Поэтому следует быть аккуратнее — использовать антивирус, не устанавливать неизвестные приложения, смотреть на права, которые требуются приложению.
Tags:
Hubs:
+22
Comments 46
Comments Comments 46

Articles

Information

Website
www.kaspersky.ru
Registered
Founded
Employees
5,001–10,000 employees
Location
Россия