Лохотрон/Вирусотрон "Обнови Opera Mini/Оптимизируй свой смартфон", и подобная зараза для Android!

Лохотрон/Вирусотрон "Обнови Opera Mini/Оптимизируй свой смартфон", и подобная зараза для Android!

Думаю многие знают (я уже давно читал про это) про этот прикол. Лазишь себе по, казалось бы не самым нечестным сайтам (для интереса решил зайти на radikal и попробовать загрузить изображение с аппарата, чисто из интереса - выйдет или нет, ибо не приходилось раньше), и вдруг, вместо загрузки сайта вылазит окошко:

Так как такие окошки всё ещё вылазят, видимо кто то верит, а я уже начал смеяться (хотя бы оттого что встроенный в андроид браузер - не опера). И конечно же, решил выполнить требования окошка

Я был удивлен тем, что скачалась версия "оперы" для Android, я если честно думал что это будет скромненький j2me троянчик:

Размер приложения очевидно мал чтобы быть браузером, но видимо недостаточно чтобы вызвать у типичного лоха поциента подозрения:

Так же как и то, что браузеру не нужен доступ в интернет, зато он умеет отсылать платные SMS

Разумеется, я троянчика не пустил в свой девайс, но так как он существует и развивается (версия под андроид, появилась иконка в apk), видимо есть многие лохи, кто пустил.
После обновления страницы, сайт загрузился, но уже с другим окошком поверх него:


Я очень надеюсь, что все кто могут прочитать эту тему - уже знают про это, или достаточно умны - чтобы не попасть. Тему создал, в основном для хохмы (если такая была - прошу прощения), и чтобы поделится своим опытом и скринами, во избежание несчастных случаев - не повторяйте дома!!

Все у кого вдруг осталось нормальное впечатление о "радикале", могут его пересмотреть.

из под оперы ничего не вылазит, из под стокового браузера действительно предлагает скачать "более бУстрый браузер"

В опере не дураки работают, и я думаю что они уже давненько могли что то сделать для борьбы с этим. А может само окошко, боится оперу))

Уже давно известно, что лучший антивирус - это мозг

У меня появлялось такое окошко. И лазил я из оперы. Сразу почувствовал какойто развод и не стал испытывать судьбу. Спасибо за темку

Andrey2005 сказав(ла):

Уже давно известно, что лучший антивирус - это мозг

Натисніть, щоб розгорнути...

лучший антивирус - это отсутствие операционной системы

Маврик
Отсутствие ОС? Имеешь ввиду аппараты с явой? Ну так они заражаются аналогичным образом. Если речь про аппараты типа 1100, то да)

Agentx86
да не за что, рад что информация оказалась полезной.

Darkden00 сказав(ла):

Маврик
Отсутствие ОС? Имеешь ввиду аппараты с явой? Ну так они заражаются аналогичным образом. Если речь про аппараты типа 1100, то да)

Натисніть, щоб розгорнути...

ну или John´s Phone

Небольшой апдейт. Те люди (я бы их иначе назвал, но во первых - не пишу маты на форуме, во вторых - им пофиг, им лохов видимо всё еще хватает для развития своего дела), что придумали лохотрон по поводу обновления оперы мини, проапдейтили своё всплывающее окошко до более серьезного вида:

А познакомился с окошечком очень просто, вчера лазил по топу загрузки в андроид, и в бесплатных нашел приложение "Русское ТВ 2", которое судя по просьбе создателя - не качать это "обновление оперы" в описании, не имеет отношения к схеме (или делает вид), а программа - самый обычный сборник ссылок на левые трансляции разных каналов, владельцы сайтов на которые ссылаются "ярлыки" каналов в программе видимо как раз заодно с лохотронщиками. Программа под название "Русское ТВ" (без цифры 2) не выдавала эти окошки, но сейчас она просит скачать свою вторую версию.

И ещё какая то ссылка на обновление оперы мини, вела к весьма веселому файлу apk, весом в 289 КБ, который даже просит те права которые может просить настоящая опера мини, не считая отправки SMS:

Для интереса отправил apk на virustotal, в результате NOD32 опознал в файле: "a variant of Android/TrojanSMS.Boxer.AE"
Несколько других антивирусов выдали: Android:RuFraud-B
Но вообще, вирус на андроид, обознали всего 4 из 43 компьютерных антивируса. Мой NOD32 опознал вирус обновления вирусной БД, которую я не обновлял уже давненько:

Если юзать оперу мобайл, не мини, то можно поменять юзер агент на десктопную версию, и тогда такие сообщения появляться не будут. Просто это на сайтах есть много дырок в ДЛЕ, которыми "разработчики" псевдо-оперы и пользуются. и при заходе с мобильной версии по определении юзер агента идет переадресация на фейковые сайты с СМС-Троянами. вот так-то...

Про смену агента я знаю, суть в том чтобы предупредить тех кто не знает.

Sent from my GT-I9000 using Tapatalk

спасибо ТСу я бы попался т.к с ведроидом общаюсь недавно.

Рад что помог. Вот для таких людей и открыл тему.
Помните:
1 Настоящая опера мини не должна иметь доступ к отправке SMS, так что при установке, смотрите список прав которые приложение требует, если там есть отправка SMS - не ставьте.
2 Настоящую оперу мини можно скачать по ссылке: m.opera.com или с оф. сайта оперы, она бесплатна изначально, так что не качайте где попало.
3 Если качайте из маркета, то обязательно смотрите издателя: Opera Software ASA, читайте комментарии и смотрите на количество скачиваний (сейчас там их больше 10 000 000). В маркете тоже могут быть фейки, не обязательно вредоносные, но фейки.

Вот Вам ещё небольшой апдейт по тому же многострадальному радикалу.

(Надеюсь читающие понимают что абзац ниже написан в шутливой форме, но это касается реальной опасности для денежных средств на Вашем счете и вероятно личных данных).

Заходите на радикал со стокового браузера и получаете (или не получаете, я получил с первого раза, пробовал потом раз 5 и не попал на страничку "оптимизатора". Сейчас перепроверил, судя по всему скрипт сохраняет у себя идентификатор девайса который уже был переправлен по ссылке которую он содержит, и второй раз Вы "заманчивое предложение" не увидите, во всяком случае в течении некоторого времени, ибо при попытке зайти с другого девайса, окошко "оптимизатора" вылезло сразу, тоже касается и попытки зайти с того же девайса второй раз, но при помощи другого браузера) очень заманчивое предложение "оптимизировать" Ваш аппарат, с помощью нового, чудесного изобретения под названием "оптимизатор"!! Почему бы и нет? Ведь как заманчиво, вдруг эта новая "технология" и правда исправит косяки моего девайса? Давайте нажмем кнопку (скрин не сделал к сожалению, но интересное дальше Взял другой аппарат и сделал недостающий скрин):

После того как "волшебная" кнопка нажата, начинается анализ (сделан довольно неплохо, тут стоит отдать создателям должное, по идентификатору аппарата который передает браузер, данный скрипт определяет модель с которой "клиент" зашел на страничку и придумывает количество ошибок и список улучшений. Просто и со вкусом).
Вот и результаты моего аппарата:

А вот результаты другого аппарата, более новой и менее популярной модели, которую "вирусописаки" не добавили в список моделей своего скрипта (модель телефона "да"):

О боже, целых 22 ошибки и 29 обновлений!! А так же очень много вкусностей, и главная - Новые заставки!!! Вротмненоги!! Хочу.. хочу.. хочу..
Конечно же качаем "обновление", куда без него?
Вот и наше долгожданное обновление:

Что же скрывается за этим волшебным apk с очень уж "аутентичной" иконкой в виде стрелки?
А за ним скрывается один из наших старых и глубоко любимых друзей, а именно - его величество троян!!


Да ещё и с новыми фишками!! Теперь он может удалять Ваши данные, следить за вашими перемещениями, отсылать Ваши данные в интернет, и конечно же радовать Вас счетами за sms на короткие номера!
Как Вам такая "оптимизация" работы Вашего гаджета?

Я понимаю что не каждый будет заниматься тем что проделываю я, и я не советую этим заниматься (до установки apk вирусов у вас не появится, но все же). Но если у Вас такие случаи были, пишите о них в теме и предупреждайте знакомых об этой напасти.
Я понимаю что это возможно немного нагло, но может стоит закрепить тему сверху? Я по возможности буду выкладывать информацию о подобной гадости

И ещё апдейт (я не выкладываю новости, я выкладываю то на что нарываюсь сам).
Сегодня нужно было скачать любую книгу в формате djvu (желательно легально и свободно распространяемую) чисто для проверки ридера. Т.к. до ПК лезть было в лом, решил скачать с Android смартфона. Оказалось что найти нормальный сайт и любой файл в формате djvu - не так и просто, вот скрин сайта который вел к вирусу:

После выбора книги и нажатия скачать, начинается редирект (не успел соскринить появившийся адрес) на вот такую вот фигню:

Теперь это не опера мини, а просто "браузер" и какая та выдуманная версия (не знаю версии которые гугл присваивает встроенному браузеру, но я думаю никакой связи тут нет, плюс тот у кого недостаточно мозга чтобы понять с чем он имеет дело, точно не знает версию). Модель аппарата тоже взяло с потолка, предыдущий лохотрон с оптимизатором реализован на более высоком уровне (для справки - у меня i9000).
При нажатии на "загрузить сейчас", скачивается сам заветный apk с незамысловатым именем "Browser_Update.apk" при попытке установки видим такую картину:


Приложение называет себя "Браузер", у него иконки ie8 или 9 (как то не в тему совсем, вирусописаки - старайтесь лучше, хотя я советую вам прыгнуть с крыши). И оно требует крайне солидный список разрешений (на один скрин не влезло все). Разумеется устанавливать я его не стал, уж простите. Всем желающим протестировать, могу его отправить

Решил прямо с аппарата отправить его на virustotal и результат меня заинтересовал:

А теперь посмотрим на тех кто его обнаружил:

И это всем известные:
**********, DrWeb и Nod32. Почему же меня это заинтересовало? Все просто - эти три антивируса очень известны и популярны в России и Украине, что разумеется говорит об одной простой вещи - практически все подобные трояны, нацелены на жителей этих стран и за пределами не встречаются, а почему? Вероятно из за тяги нашего народа к халяве, посещению всяких непонятных сайтов и банальной лени а так же невнимательности (большая часть людей не читает что им пишет аппарат, и мне если честно их не жалко). В общем - будьте внимательны.

Сегодня, лазая по гуглу, снова наткнулся на типичную заразу, которая правда интересно себя ведет на iOS, подробнее написал тут:
https://www.kharkovforum.com/showthread.php?t=2527215

Т.к. основное описано там, и самое интересное происходит именно на iOS, просто приложу скриншоты, и скажу что для андроида схема стандартная (нажал обновить - скачался вирус) и ничего креативного нету. Если что, зараженная ссылка - вторая на первом скрине.

Вот набрел на сайт "google play market".
Фейковый маркет позволяет скачать и вирусы вместо популярных программ! =)


Видимо лохов реально много, раз такие сайты живут и размножаются!
З.Ы. Удивила Windows 8: сама определила вирусок

Да, есть такой "маркет" еще давно слышал.

Пишу скажем так, по горячим следам, прямо с планшета. Все тот же радикал продолжает дарить улыбки вирусы людям, и в целом не в механизме не изменилось ничего, но оформление изменилось и собственно его и хочу показать, ибо не показать такое я просто не могу (создателя хочется если честно на кол посадить) и так, вот что вылазит при заходе через стоковый браузер на андроиде:

Наглости создателя стоит позавидовать, ибо страница загрузки вирусв нас убеждает что вирус у нас уже есть и предлагает скачать "лекарство". Гениально.. Но смешно не только это, смешно еще и то, что таки есть кнопка "соглашение" и ее даже видно (со смартфона думаю не будет почти). Сделал скрин и части соглашения (оно кстати содержит информацию и для Украины, Беларуси, Казахстана итд.. (одна смс 12 гривен как я понял, ибо даже не читал, быстро промотал).

Что касается самого арк, все как обычно, троян шлющий смс и не только, иконка от старых ие, что забавляет. Разумеется установить должен юзер, само это г.. не установится, иначе окно на скринах выше было бы не нужно.

ТС, попробуй музыку с тырнета качнуть - большинство треков прийдет в виде арк пакетов. Ещё есть куча плееров, показывающих любый фильмы онлайн в фулашди качестве на любых девайсах, ещё.....Вообще, тема вечная, ибо лох непредсказуем.