Предложения злоумышленников скачать или обновить браузер могут выглядеть так:

Встречаются «обновления» и других распространенных продуктов, например Adobe Flash Player или Skype:

Страницы злоумышленников могут имитировать «онлайн-сканирование» компьютера пользователя на наличие вирусов, чтобы затем предложить «вылечить» компьютер пользователя:

Подставные сайты копируют интерфейс своих легитимных аналогов, и это зачастую вводит пользователей в заблуждение.

Чтобы заманить пользователей на страницы поддельных обновлений и антивирусов, злоумышленники обычно взламывают легитимные сайты и размещают на них код, автоматически перенаправлющий браузер на эти страницы. Примеры такого кода приведены в конце статьи.

Особый интерес для злоумышленников представляют пользователи мобильных платформ, поэтому перенаправление может осуществляться только для пользователей с определенным HTTP-заголовком User-Agent (например, содержащим подстроку "android"), или по значению javascript-свойства navigator.

Конечная цель злоумышленников — получить деньги, узнав номер его телефона, чтобы подписать на платные SMS-услуги, или убедив пользователя установить на свой телефон ПО, которое будет без ведома пользователя отправлять платные SMS.

Для подписки на SMS-услугу обычно используется следующий сценарий: в процессе «обновления» браузера или сразу после этого пользователю предлагается ввести свой номер телефона для получения уникального кода, который необходим для активации обновления:

Для получения злоумышленниками возможности отправлять SMS, .jar или .apk файл выдается пользователю под видом рекомендуемого обновления. Мы исследовали одно из подобных поддельных обновлений браузера Opera (SHA256: 5ee665761c36d3b26b549c976b55e474d68213f840ecb91634a33c352c724227) для операционной системы Android. Оказалось, что теперь мошенников интересует не только отправка SMS.

Из манифеста приложения видно, что набор разрешений безопасности, которые запрашивает приложение, является аномальным для браузера, в частности на отправку, получение и чтение SMS, а также на доступ к контактам:

В результате декомпиляции обнаружилось, что «браузер» осуществляет отправку нескольких SMS без разрешения пользователя. Отправка сообщений происходит в методе send класса Msg. Код отправки сообщений выглядит так (здесь и далее листинг программы представлен в опкодах Dalvik

Кроме отправки SMS, также осуществляется чтение контактов пользователя и отправка их злоумышленникам. Это происходит в классе DeviceRegistrar. Сбор контактов и упаковка их в JSON происходит в методе makeContactsJsonData. Сначала получается доступ к базе контактов, а далее происходит последовательное чтение имени контакта и номера телефона:

Таким образом, помимо денег, мошенники крадут у пользователей персональную информацию. Результаты проверки разобранного образца сервисом VirusTotal можно посмотреть здесь.

Зачастую подобного рода сайты содержат неприметную ссылку на раздел с формальным пользовательским соглашением, в котором указывается, что услуга, на которую соглашается пользователь, на самом деле является платной и имеет определенную цену:

Однако нигде в так называемом пользовательском соглашении не указано, что программное обеспечение осуществляет передачу персональных данных пользователей мошенникам. Возврат денег в случае мошенничества является трудной процедурой. Также не существует ни одного заявления мобильных операторов о политике в случае подобного рода мошенничества.

Каждый день мы выявляем более 500 хостов, при помощи которых осуществляется подобное мошенничество.

Чтобы не стать жертвой подобных атак, помните:

Для перенаправления пользователей злоумышленники размещают на легитимных сайтах вредоносный код. Если подобный код есть на вашем сайте, он будет помечен в результатах поиска Яндекса как опасный.

<script>-тэг, осуществляющий перенаправление. Пример:

Код может быть дополнительно обфусцирован:

После деобфускации выполнится следующий код:

Правила для .htaccess файла, которые проверяют HTTP-заголовок User-Agent, и в случае соответствия выполняют перенаправление на вредоносную страницу. Пример:

PHP-код, который осуществляет загрузку данных с удаленного сервера с помощью функции file_get_contents или библиотеки curl в зависимости от настроек сервера. Загруженные данные включаются в HTTP-ответ сервера. Пример: