Пользователей мобильных устройств предупредили о новой опасности

Компания «Доктор Веб» сообщила об увеличении числа взломов веб-сайтов с целью перенаправления пользователей мобильных устройств на ресурсы, распространяющие вредоносное программное обеспечение.

Как известно, подобные атаки отмечались и ранее, однако в последнее время их число заметно возросло. Так, по оценкам аналитиков, в Рунете одновременно работает около 100 взломанных злоумышленниками площадок, при этом оперативное устранение следов заражения на некоторых из них компенсируется новыми взломами.

Многочисленные владельцы смартфонов и планшетов, работающих под управлением системных платформ с поддержкой Java, в последнее время стали замечать, что они лишились возможности посетить свои любимые сайты и при открытии некоторых веб-страниц происходит автоматическое перенаправление пользователя на интернет-ресурс, имитирующий оформление официального веб-сайта Opera Mini и предлагающий загрузить обновление браузера. Разумеется, под видом данного обновления, распространяемого в зависимости от типа клиентской ОС в виде либо файлов .jar, либо приложений для Android .apk, обычно скрывается троянец семейства Android.SmsSend.

В настоящее время антивирусное ПО не может предотвратить редирект пользователя на принадлежащие киберпреступникам сайты (но при этом блокирует попытку загрузки с подобных ресурсов вредоносных программ), так как перенаправление осуществляется самим веб-сайтом, к которому обращается пользователь.

Эксплуатируя уязвимости установленных на подобных сайтах серверных приложений, таких как «движки» форумов и системы управления контентом (CMS), злоумышленники получают доступ к сайту и подменяют хранящийся на сервере файл .htaccess. В результате этих изменений при каждом обращении к взломанному интернет-ресурсу сервер проверяет user-agent пользователя, и в том случае, если клиентский браузер работает на мобильной платформе с поддержкой Java (в том числе Symbian и Android), происходит переадресация пользователя на принадлежащий злоумышленникам сайт.

Отмечается, что, так как мошенники используют одни и те же уязвимости для организации несанкционированного доступа к различным ресурсам и действуют по стандартной схеме, можно предположить, что взлом осуществляется автоматически с использованием специализированного программного обеспечения.

Администрации многих интернет-ресурсов сообщают о многократных случаях взлома: несмотря на то, что владельцам сайта удается быстро удалить вредоносные объекты, через некоторое время злоумышленники вновь берут ресурс под свой контроль.

Также специалисты компании высказали предположение, что взломщики действуют в кооперации с владельцами партнерских программ, распространяющих Android.SmsSend под видом поддельных обновлений для Opera Mini. В этом случае действуют 2 независимые группы киберпреступников, одна из которых специализируется на взломе сайтов, а вторая — на «раздаче» вредоносного ПО. В настоящее время известно несколько «партнерских программ», предлагающих хакерам плату за перенаправление трафика на распространяющие троянцев сайты.