Сегодня все большую популярность набирает схема распространения вредоносного ПО под видом обновления для популярных легитимных продуктов. Чаще всего пользователю предлагается установить обновление браузера, мотивируя это тем, что браузер пользователя устарел и является небезопасным.

Предложения злоумышленников скачать или обновить браузер могут выглядеть так:

Встречаются «обновления» и других распространенных продуктов, например Adobe Flash Player или Skype:

Страницы злоумышленников могут имитировать «онлайн-сканирование» компьютера пользователя на наличие вирусов, чтобы затем предложить «вылечить» компьютер пользователя:

Подставные сайты копируют интерфейс своих легитимных аналогов, и это зачастую вводит пользователей в заблуждение.

Чтобы заманить пользователей на страницы поддельных обновлений и антивирусов, злоумышленники обычно взламывают легитимные сайты и размещают на них код, автоматически перенаправлющий браузер на эти страницы. Примеры такого кода приведены в конце статьи.

Особый интерес для злоумышленников представляют пользователи мобильных платформ, поэтому перенаправление может осуществляться только для пользователей с определенным HTTP-заголовком User-Agent (например, содержащим подстроку "android"), или по значению JavaScript-свойства navigator.

Конечная цель злоумышленников — получить деньги, узнав номер его телефона, чтобы подписать на платные SMS-услуги, или убедив пользователя установить на свой телефон ПО, которое будет без ведома пользователя отправлять платные SMS.

Для подписки на SMS-услугу обычно используется следующий сценарий: в процессе «обновления» браузера или сразу после этого пользователю предлагается ввести свой номер телефона для получения уникального кода, который необходим для активации обновления:

Для получения злоумышленниками возможности отправлять SMS, .jar или .apk файл выдается пользователю под видом рекомендуемого обновления. Мы исследовали одно из подобных поддельных обновлений браузера Opera (SHA256: 5ee665761c36d3b26b549c976b55e474d68213f840ecb91634a33c352c724227) для операционной системы Android. Оказалось, что теперь мошенников интересует не только отправка SMS.

Из манифеста приложения видно, что набор разрешений безопасности, которые запрашивает приложение, является аномальным для браузера, в частности на отправку, получение и чтение SMS, а также на доступ к контактам:

В результате декомпиляции обнаружилось, что «браузер» осуществляет отправку нескольких SMS без разрешения пользователя. Отправка сообщений происходит в методе send класса Msg. Код отправки сообщений выглядит так (здесь и далее листинг программы представлен в опкодах Dalvik

Кроме отправки SMS, также осуществляется чтение контактов пользователя и отправка их злоумышленникам. Это происходит в классе DeviceRegistrar. Сбор контактов и упаковка их в JSON происходит в методе makeContactsJsonData. Сначала получается доступ к базе контактов, а далее происходит последовательное чтение имени контакта и номера телефона:

Таким образом, помимо денег, мошенники крадут у пользователей персональную информацию. Результаты проверки разобранного образца сервисом VirusTotal можно посмотреть здесь.

Зачастую подобного рода сайты содержат неприметную ссылку на раздел с формальным пользовательским соглашением, в котором указывается, что услуга, на которую соглашается пользователь, на самом деле является платной и имеет определенную цену:

Однако нигде в так называемом пользовательском соглашении не указано, что программное обеспечение осуществляет передачу персональных данных пользователей мошенникам. Возврат денег в случае мошенничества является трудной процедурой. Также не существует ни одного заявления мобильных операторов о политике в случае подобного рода мошенничества.

Каждый день мы выявляем более 500 хостов, при помощи которых осуществляется подобное мошенничество.

Чтобы не стать жертвой подобных атак, помните:

1. Большая часть современных приложений обновляются автоматически.
2. Рекомендуется устанавливать приложения и обновления ПО с сайта производителя или из надежных источников – таких как магазины приложений.
3. Многие вредоносные сайты копируют интерфейс своих легитимных аналогов, и ни один сайт не может гарантировать отсутствие в интернете своего клона. Так, например, некоторые партнерские программы уже сейчас предлагают услуги по созданию сайтов-подделок под ещё не открывшийся Yandex.Store.
   
   
   
   

   

   
   

   

   
   
4. Для перенаправления пользователей злоумышленники размещают на легитимных сайтах вредоносный код. Если подобный код есть на вашем сайте, он будет помечен в результатах поиска Яндекса как опасный.
   
   
   
   

   • <script>-тэг, осуществляющий перенаправление. Пример:

     
     

     

     
     

     Код может быть дополнительно обфусцирован:

     
     

     

     
     

     После деобфускации выполнится следующий код:

     
     

     

     
     

   • Правила для .htaccess файла, которые проверяют HTTP-заголовок User-Agent, и в случае соответствия выполняют перенаправление на вредоносную страницу. Пример:

     
     

     

   • PHP-код, который осуществляет загрузку данных с удаленного сервера с помощью функции file_get_contents или библиотеки curl в зависимости от настроек сервера. Загруженные данные включаются в HTTP-ответ сервера. Пример:

     
     

     

     
     

Для того чтобы предотвратить заражение своего сайта, воспользуйтесь нашими рекомендациями, приведёнными здесь.

О том, как удалить вредоносный код с своего сайта, читайте в этой статье.
Если вы обнаружите примеры клиентского или серверного вредоносного кода, то присылайте их, пожалуйста, по адресу virus-samples@yandex-team.ru .

Команда Безопасного Поиска Яндекса