provincial (provincial) wrote,
provincial
provincial

Алерта

Уже несколько раз, читая G+ с Android-планшета, при переходе по ссылкам на внешние сайты, попадал на редирект на сайт mobi-bro.net с предложением скачать APK-шник с обновлением Flash Player. В общем-то, ничего особенного, классическая разводка на SMS-сендер с помощью JavaScript-редиректа на страничке с инфицированного сайта, если бы не одно "но" - редирект идет со вполне надежных сайтов, типа LiveJournal или AndroidAuthority.

Screenshot_2013-03-17-21-49-30

Причем надо отметить, что 1) страничка сделана весьма правдоподобно, 2) для каждого конкретного сайта предложение скачать выскакивает только один раз, 3) гуглинг по указанному адресу ничего особо интересного не выдает. Сегодня такая ерунда выскочила при переходе на страничку http://leonov.livejournal.com/392069.html. Похоже на JS-инъекцию со стороны какой-то сети контекстной рекламы. Я попробовал подменить в Firefox'е User-Agent на андроидовский и зайти на вышеуказанную страничку через VPN, и в результате Adblock вывалил окошко предупреждения о возможной XSS-атаке при запросе к ams1.mobile.adnxs.com. Но подтвердить связь этой сети с заразой пока не удалось, ибо при скачивании wget'ом с подменой User-Agent по ссылке отдается файл нулевой длины. В общем, буду разбираться дальше.
Tags: android, анализ, безопасность
Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 4 comments