» » Опасные обновления — берегитесь вредоносного ПО под видом обновления

Опасные обновления — берегитесь вредоносного ПО под видом обновления

Опасные обновления — берегитесь вредоносного ПО под видом обновленияСегодня все большую популярность набирает схема распространения вредоносного ПО под видом обновления для популярных легитимных продуктов. Чаще всего пользователю предлагается установить обновление браузера, мотивируя это тем, что браузер пользователя устарел и является небезопасным.

 

Предложения злоумышленников скачать или обновить браузер могут выглядеть так:

Опасные обновления — берегитесь вредоносного ПО под видом обновления

 

Встречаются «обновления» и других распространенных продуктов, например Adobe Flash Player или Skype:

Опасные обновления — берегитесь вредоносного ПО под видом обновления

Опасные обновления — берегитесь вредоносного ПО под видом обновления

Страницы злоумышленников могут имитировать «онлайн-сканирование» компьютера пользователя на наличие вирусов, чтобы затем предложить «вылечить» компьютер пользователя:

Опасные обновления — берегитесь вредоносного ПО под видом обновления

Подставные сайты копируют интерфейс своих легитимных аналогов, и это зачастую вводит пользователей в заблуждение.

Чтобы заманить пользователей на страницы поддельных обновлений и антивирусов, злоумышленники обычно взламывают легитимные сайты и размещают на них код, автоматически перенаправлющий браузер на эти страницы. Примеры такого кода приведены в конце статьи.

Особый интерес для злоумышленников представляют пользователи мобильных платформ, поэтому перенаправление может осуществляться только для пользователей с определенным HTTP-заголовком User-Agent (например, содержащим подстроку "android"), или по значению javascript-свойства navigator.

Конечная цель злоумышленников — получить деньги, узнав номер его телефона, чтобы подписать на платные SMS-услуги, или убедив пользователя установить на свой телефон ПО, которое будет без ведома пользователя отправлять платные SMS.

Для подписки на SMS-услугу обычно используется следующий сценарий: в процессе «обновления» браузера или сразу после этого пользователю предлагается ввести свой номер телефона для получения уникального кода, который необходим для активации обновления:

Опасные обновления — берегитесь вредоносного ПО под видом обновления

Для получения злоумышленниками возможности отправлять SMS, .jar или .apk файл выдается пользователю под видом рекомендуемого обновления. Мы исследовали одно из подобных поддельных обновлений браузера Opera (SHA256: 5ee665761c36d3b26b549c976b55e474d68213f840ecb91634a33c352c724227) для операционной системы Android. Оказалось, что теперь мошенников интересует не только отправка SMS.

 

Из манифеста приложения видно, что набор разрешений безопасности, которые запрашивает приложение, является аномальным для браузера, в частности на отправку, получение и чтение SMS, а также на доступ к контактам:

В результате декомпиляции обнаружилось, что «браузер» осуществляет отправку нескольких SMS без разрешения пользователя. Отправка сообщений происходит в методе send класса Msg. Код отправки сообщений выглядит так (здесь и далее листинг программы представлен в опкодах Dalvik

Опасные обновления — берегитесь вредоносного ПО под видом обновления

Кроме отправки SMS, также осуществляется чтение контактов пользователя и отправка их злоумышленникам. Это происходит в классе DeviceRegistrar. Сбор контактов и упаковка их в JSON происходит в методе makeContactsJsonData. Сначала получается доступ к базе контактов, а далее происходит последовательное чтение имени контакта и номера телефона:

Опасные обновления — берегитесь вредоносного ПО под видом обновления

Таким образом, помимо денег, мошенники крадут у пользователей персональную информацию. Результаты проверки разобранного образца сервисом VirusTotal можно посмотреть здесь.

 

Зачастую подобного рода сайты содержат неприметную ссылку на раздел с формальным пользовательским соглашением, в котором указывается, что услуга, на которую соглашается пользователь, на самом деле является платной и имеет определенную цену:

Опасные обновления — берегитесь вредоносного ПО под видом обновления

Однако нигде в так называемом пользовательском соглашении не указано, что программное обеспечение осуществляет передачу персональных данных пользователей мошенникам. Возврат денег в случае мошенничества является трудной процедурой. Также не существует ни одного заявления мобильных операторов о политике в случае подобного рода мошенничества.

 

Каждый день мы выявляем более 500 хостов, при помощи которых осуществляется подобное мошенничество.

Опасные обновления — берегитесь вредоносного ПО под видом обновления

Чтобы не стать жертвой подобных атак, помните:

  1. Большая часть современных приложений обновляются автоматически.
  2. Рекомендуется устанавливать приложения и обновления ПО с сайта производителя или из надежных источников – таких как магазины приложений.
  3. Многие вредоносные сайты копируют интерфейс своих легитимных аналогов, и ни один сайт не может гарантировать отсутствие в интернете своего клона. Так, например, некоторые партнерские программы уже сейчас предлагают услуги по созданию сайтов-подделок под ещё не открывшийся Yandex.Store.

Опасные обновления — берегитесь вредоносного ПО под видом обновления

Для перенаправления пользователей злоумышленники размещают на легитимных сайтах вредоносный код. Если подобный код есть на вашем сайте, он будет помечен в результатах поиска Яндекса как опасный.

<script>-тэг, осуществляющий перенаправление. Пример:

Опасные обновления — берегитесь вредоносного ПО под видом обновления

Код может быть дополнительно обфусцирован:

Опасные обновления — берегитесь вредоносного ПО под видом обновления

После деобфускации выполнится следующий код:

Опасные обновления — берегитесь вредоносного ПО под видом обновления

Правила для .htaccess файла, которые проверяют HTTP-заголовок User-Agent, и в случае соответствия выполняют перенаправление на вредоносную страницу. Пример:

Опасные обновления — берегитесь вредоносного ПО под видом обновления

PHP-код, который осуществляет загрузку данных с удаленного сервера с помощью функции file_get_contents или библиотеки curl в зависимости от настроек сервера. Загруженные данные включаются в HTTP-ответ сервера. Пример:

Опасные обновления — берегитесь вредоносного ПО под видом обновления

 






Добавить комментарий

КОММЕНТАРИИ

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Быстрый вход: 

ВОЗМОЖНО ВАС ЭТО ЗАИНТЕРЕСУЕТ

Информация
Комментировать статьи на сайте возможно только в течении 90 дней со дня публикации.