Клуб Яндекс.Метрики

Опасные обновления

Пост в архиве.
Опасные обновления

Сегодня все большую популярность набирает схема распространения вредоносного ПО под видом обновления для популярных легитимных продуктов. Чаще всего пользователю предлагается установить обновление браузера, мотивируя это тем, что браузер пользователя устарел и является небезопасным.


Предложения злоумышленников скачать или обновить браузер могут выглядеть так:




Встречаются «обновления» и других распространенных продуктов, например Adobe Flash Player или Skype:




Страницы злоумышленников могут имитировать «онлайн-сканирование» компьютера пользователя на наличие вирусов, чтобы затем предложить «вылечить» компьютер пользователя:



Подставные сайты копируют интерфейс своих легитимных аналогов, и это зачастую вводит пользователей в заблуждение.


Чтобы заманить пользователей на страницы поддельных обновлений и антивирусов, злоумышленники обычно взламывают легитимные сайты и размещают на них код, автоматически перенаправлющий браузер на эти страницы. Примеры такого кода приведены в конце статьи.


Особый интерес для злоумышленников представляют пользователи мобильных платформ, поэтому перенаправление может осуществляться только для пользователей с определенным HTTP-заголовком User-Agent (например, содержащим подстроку "android"), или по значению JavaScript-свойства navigator.


Конечная цель злоумышленников — получить деньги, узнав номер его телефона, чтобы подписать на платные SMS-услуги, или убедив пользователя установить на свой телефон ПО, которое будет без ведома пользователя отправлять платные SMS.


Для подписки на SMS-услугу обычно используется следующий сценарий: в процессе «обновления» браузера или сразу после этого пользователю предлагается ввести свой номер телефона для получения уникального кода, который необходим для активации обновления:



Для получения злоумышленниками возможности отправлять SMS, .jar или .apk файл выдается пользователю под видом рекомендуемого обновления. Мы исследовали одно из подобных поддельных обновлений браузера Opera (SHA256: 5ee665761c36d3b26b549c976b55e474d68213f840ecb91634a33c352c724227) для операционной системы Android. Оказалось, что теперь мошенников интересует не только отправка SMS.


Из манифеста приложения видно, что набор разрешений безопасности, которые запрашивает приложение, является аномальным для браузера, в частности на отправку, получение и чтение SMS, а также на доступ к контактам:



В результате декомпиляции обнаружилось, что «браузер» осуществляет отправку нескольких SMS без разрешения пользователя. Отправка сообщений происходит в методе send класса Msg. Код отправки сообщений выглядит так (здесь и далее листинг программы представлен в опкодах Dalvik



Кроме отправки SMS, также осуществляется чтение контактов пользователя и отправка их злоумышленникам. Это происходит в классе DeviceRegistrar. Сбор контактов и упаковка их в JSON происходит в методе makeContactsJsonData. Сначала получается доступ к базе контактов, а далее происходит последовательное чтение имени контакта и номера телефона:



Таким образом, помимо денег, мошенники крадут у пользователей персональную информацию. Результаты проверки разобранного образца сервисом VirusTotal можно посмотреть здесь.


Зачастую подобного рода сайты содержат неприметную ссылку на раздел с формальным пользовательским соглашением, в котором указывается, что услуга, на которую соглашается пользователь, на самом деле является платной и имеет определенную цену:




Однако нигде в так называемом пользовательском соглашении не указано, что программное обеспечение осуществляет передачу персональных данных пользователей мошенникам. Возврат денег в случае мошенничества является трудной процедурой. Также не существует ни одного заявления мобильных операторов о политике в случае подобного рода мошенничества.


Каждый день мы выявляем более 500 хостов, при помощи которых осуществляется подобное мошенничество.



Чтобы не стать жертвой подобных атак, помните:

  1. Большая часть современных приложений обновляются автоматически.
  2. Рекомендуется устанавливать приложения и обновления ПО с сайта производителя или из надежных источников – таких как магазины приложений.
  3. Многие вредоносные сайты копируют интерфейс своих легитимных аналогов, и ни один сайт не может гарантировать отсутствие в интернете своего клона. Так, например, некоторые партнерские программы уже сейчас предлагают услуги по созданию сайтов-подделок под ещё не открывшийся Yandex.Store.




  4. Для перенаправления пользователей злоумышленники размещают на легитимных сайтах вредоносный код. Если подобный код есть на вашем сайте, он будет помечен в результатах поиска Яндекса как опасный.


    • <script>-тэг, осуществляющий перенаправление. Пример:



      Код может быть дополнительно обфусцирован:



      После деобфускации выполнится следующий код:



    • Правила для .htaccess файла, которые проверяют HTTP-заголовок User-Agent, и в случае соответствия выполняют перенаправление на вредоносную страницу. Пример:


    • PHP-код, который осуществляет загрузку данных с удаленного сервера с помощью функции file_get_contents или библиотеки curl в зависимости от настроек сервера. Загруженные данные включаются в HTTP-ответ сервера. Пример:




Для того чтобы предотвратить заражение своего сайта, воспользуйтесь нашими рекомендациями, приведёнными здесь.

О том, как удалить вредоносный код с своего сайта, читайте в этой статье.
Если вы обнаружите примеры клиентского или серверного вредоносного кода, то присылайте их, пожалуйста, по адресу virus-samples@yandex-team.ru .


Команда Безопасного Поиска Яндекса