Кстати, вдогонку про книжную ярмарку. Если зайти на сайт http://www.krupaspb.ru/ через мобильное устройство с поддержкой java, то можно легко словить вирус. С krupaspb.ru пользователя редиректит на сайт злоумышленников. Вероятно, сайт книжной ярмарки был взломан и в его код была добавлена проверка User-Agent браузера. В случае захода с десктопа - всё ОК, но при заходе с мобильных устройств открывается совсем другой сайт (mobile-download.ru), на котором нам сообщают, что наш браузер opera mini безнадёжно устарел, и надо обновить его ПРЯМО СЕЙЧАС.
Это не важно, что я зашёл с айпада через Safari, всё равно мне надо обновить Оперу мини. Сайт даже сам любезно начинает закачивать jar-файл соперой вирусом. Файл называется opera_mini.jar. Конечно же надо ставить, тут обмана быть не может!
Я скачал файл на айпад и перекинул через дропбокс на компьютер, для дальнейшего изучения. Антивирус Касперского тут же завизжал (и правильно сделал), так что пришлось его временно выключить. Позже я выяснил, что можно было просто скачать тот же вирус напрямую с компьютера с сайта mobile-download.ru. Там никаких проверок на "десктопность" браузера нет. Ну либо можно было подменить User-Agent, представившись той же оперой мини.
Это вирус классифицируется Касперским как Trojan-SMS.J2ME.OpFake.fm, и в описании к нему мы можем прочитать следующее:
Даже не зная имена переменных и название функции, легко можно увидеть, что функция эта получает на вход две строки - номер телефона, куда будет отправлена смска, и текст этой смски. Из этих значений формируется textmessage, и смска отправляется: s.send(textmessage); Сама же функция является булевой, и возвращает 0 (облом, смска не прошла), или 1 (смска отправилась, лох был удачно разведён).
Это не важно, что я зашёл с айпада через Safari, всё равно мне надо обновить Оперу мини. Сайт даже сам любезно начинает закачивать jar-файл с
Я скачал файл на айпад и перекинул через дропбокс на компьютер, для дальнейшего изучения. Антивирус Касперского тут же завизжал (и правильно сделал), так что пришлось его временно выключить. Позже я выяснил, что можно было просто скачать тот же вирус напрямую с компьютера с сайта mobile-download.ru. Там никаких проверок на "десктопность" браузера нет. Ну либо можно было подменить User-Agent, представившись той же оперой мини.
KasperskyInternet Security 2011
ДОСТУП ЗАПРЕЩЕН
Запрашиваемый URL-адрес не может быть предоставлен
В запрашиваемом объекте по URL-адресу: http://dl1.mobile-download.ru/midlet/ d1l00g/m1/mt73/a5_3_1/nopera%20mini/s0/ sm0/opera_mini.jar Обнаружена угроза: объект заражен Trojan-SMS.J2ME.OpFake.fm
Сообщение создано: 1:23:24
|
Это вирус классифицируется Касперским как Trojan-SMS.J2ME.OpFake.fm, и в описании к нему мы можем прочитать следующее:
Вредоносная программа, предназначенная для несанкционированной пользователем отсылки SMS-сообщений с пораженных мобильных устройств на дорогостоящие платные номера, которые «жестко» записаны в теле вредоносной программы.
В принципе я сразу так и подумал, что это банальная отсылка СМС.
Давайте рассмотрим файл с вирусом - opera_mini.jar. Это обычный исполняемый java-файл. Я запустил его в эмуляторе Sjboy и увидел следующее:
Давайте рассмотрим файл с вирусом - opera_mini.jar. Это обычный исполняемый java-файл. Я запустил его в эмуляторе Sjboy и увидел следующее:
Нажимаем "далее":
Ещё раз "далее", и программа закрывается. Дело сделано, смска на кругленькую сумму отправилась, а пользователь так и остался без новой Оперы :)
Особо настойчивые дурачки могут перейти по ссылке mxmoby.ru/get/1L1vc, где смогут скачать ещё больше вирусов, на любой вкус: и для симбиана, и для андроида, и для чего угодно:
Но вернёмся к нашему jar-файлу. Это обычный архив, распаковав который можно увидеть байт-коды java-программы и ресурсы которые она использует (всякие картинки, иконки, и т.д.). Код программы содержится в файле InstallerMIDlet.class. Я декомпилировал его при помощи программы JAD, дабы поглубже познакомиться с внутренностями зловреда. К сожалению, при декомпиляции теряются имена переменных, значения этих переменных, и много чего ещё. Поэтому в программе разбираться не так просто. Кроме того, опять же, из-за этого нельзя увидеть, на какой именно номер отправляется СМС.
Вся "магия" происходит вот здесь:
private static boolean a(String s, String s1) { boolean flag = true; try { TextMessage textmessage; (textmessage = (TextMessage)(s = (MessageConnection)Connector.open(s = "sms://" + s)).newMessage("text")).setPayloadText(s1); s.send(textmessage); s.close(); } catch(IOException _ex) { } catch(SecurityException _ex) { flag = false; } catch(Exception _ex) { flag = false; } return flag; }
Даже не зная имена переменных и название функции, легко можно увидеть, что функция эта получает на вход две строки - номер телефона, куда будет отправлена смска, и текст этой смски. Из этих значений формируется textmessage, и смска отправляется: s.send(textmessage); Сама же функция является булевой, и возвращает 0 (облом, смска не прошла), или 1 (смска отправилась, лох был удачно разведён).
Я отписался на адрес contacts@krupaspb.ru, об обнаруженной мной проблеме. Надеюсь, что администраторы ресурса примут меры по удалению вируса с их сайта.
А владельцев сайтов mobile-download.ru и mxmoby.ru надо найти и анально покарать по всей строгости УК РФ. Тем более, что сделать это не сложно, а в нашей стране даже есть специальный "отдел К", по борьбе с кибер-преступностью. Только вот, у нашей милиции-полици вообще, и у отдела К в частности есть гораздо более интересные занятия. Например, ловить студентов-инсталляторов (я об этом писал пару лет назад) и совершать набеги на фирмы с целью осуществления поборов за установленное не лицензионное ПО. Переименование милиции в полицию почему-то не помогло. Господа полицейские всё ещё предпочитают личную наживу решению настоящих проблем и поиску настоящих преступников.
А владельцев сайтов mobile-download.ru и mxmoby.ru надо найти и анально покарать по всей строгости УК РФ. Тем более, что сделать это не сложно, а в нашей стране даже есть специальный "отдел К", по борьбе с кибер-преступностью. Только вот, у нашей милиции-полици вообще, и у отдела К в частности есть гораздо более интересные занятия. Например, ловить студентов-инсталляторов (я об этом писал пару лет назад) и совершать набеги на фирмы с целью осуществления поборов за установленное не лицензионное ПО. Переименование милиции в полицию почему-то не помогло. Господа полицейские всё ещё предпочитают личную наживу решению настоящих проблем и поиску настоящих преступников.
Также надо понимать, что весь этот бизнес очень выгоден операторам сотовой связи, т.к. они имеют очень неплохой процент с ворованных денег. Закрывать "нехорошие" короткие номера и вообще как-то бороться с такими "предпринимателями" им не выгодно, и делать они этого не станут. Поэтому в ближайшее время ничего меняться не будет. Кстати, особо хитрожопые операторы, такие как МТС, вместо того что бы хотя бы создать видимость борьбы с нечистыми на руку предпринимателями, наоборот всячески им помогают. Например, только у МТС есть услуга "снятие денег за входящее СМС".
В заключение, хочу посоветовать всем и каждому быть как можно более внимательными и аккуратными, не скачивать всякий шлак, и уж тем более не запускать его. Касается это не только мобильных телефонов, но и стационарных компьютеров и ноутбуков. Граждане, будьте бдительны!
Этот комментарий был удален автором.
ОтветитьУдалить