“userAgent : Mozilla/5.0 (Linux; U; Android 1.5; de-ch; HTC Hero Build /CUPCAKE) AppleWebKit/528.5+ (KHTML, like Gecko) Version/3.1.2 Mobile Safari/525.20.1”
Malwaraを見つけるために、Googleはかなり人気のあるクエリ「opera mini download」を導入しました。
Operaの公式サイトがないことにすぐに驚いた。 代わりに、最初の行に「OperaMini is free」というアナウンスがあり、これはWebサイトwww.ebay.ruにつながると思われますが、実際には、リンクをクリックするとebay *****に切り替わります。マルウェアがダウンロードされます。 すでに一見すると、他のリンクのほとんどが悪意のあるリソースにつながることがわかります。 一部のドメインは.in、.wsドメインゾーンにあり、一部は「getoperafree」などと呼ばれます。
これらのサイトはすべて同じ方法で作成されており、Opera Miniのダウンロードへのリンクがすべて含まれています。 予想どおり、悪意のある.apkファイルがダウンロードされます。 その主な目的は、SMSを短い番号に送信することです。 数値とメッセージテキストを含む構成の内容は、base64でエンコードされます。
変換後、次のようになります。
メッセージを送信するコード自体は次のとおりです。
現在、モバイルインターネットセクターは単純に感染で一杯であり、Googleの最初のページのほとんどすべてのリクエストで悪意のあるリンクを見つけることができます。
ソフトウェアにも関係しない2つのリクエストに対しては、マルウェアを取得できるページが引き続き発行されます。 したがって、注意が必要です-ウイルス対策ソフトウェアを使用し、不明なアプリケーションをインストールせず、アプリケーションに必要な権限を確認してください。