Setelah melepas dua lapisan kebingungan, kami menemukan daftar kondisi memeriksa Agen pengguna pengunjung. Dari kondisi ini. kami mendapat petunjuk dan terfokus pada perangkat mobile.
Semuanya dimulai ketika pengguna mulai browsing internet dari perangkat mobile mereka. Mereka mengunjungi situs yang sah yang telah dibajak. Situs ini berisi link ke situs javascrpt.ru, dimana data browser pengunjung 'dikirim. Jika skrip host di javascrpt.ru mengakui string pengguna Agen pengunjung sebagai salah satu daftar kondisi, pengunjung diarahkan ke situs berbahaya, biasanya host di hosting yang sah, mendistribusikan file berbahaya untuk perangkat mobile. Ketika pengguna membuka situs ini, drive-by mulai download. Kami menemukan perilaku yang berbeda untuk berbagai perangkat.
Untuk ponsel Android non, file bernama load.php (2DECBD7C9D058A0BFC27AD446F8B474D99977A857B1403294C0D10078C2DB51D) download, meskipun sebenarnya itu adalah file Java biasa. Tetapi karena Anda dapat melihat pengguna kami terlindung dengan baik:
Tapi pertanyaannya adalah apa yang sebenarnya terjadi dengan pengguna tidak dilindungi?
Setelah menjalankan file ini, pengguna mengharapkan aplikasi yang berjalan bahwa mereka mulai, tetapi dalam kasus ini daftar perjanjian muncul. Dan baris pertama adalah 'Untuk mendapatkan akses ke konten, Anda harus menyetujui persyaratan yang disajikan di bawah'. Dan apa istilah-istilah tersebut?
1. Untuk mendapatkan akses ke wa Layanan ** y.ru / konten untuk melakukan pembayaran dengan mengirimkan hingga 3 pesan SMS
2. Untuk informasi lengkap mengenai harga, dapat ditemukan di situs web: www.mo **** 1.ru / (situs ini tidak bekerja sekarang)
Kedua Android dan perangkat lain yang mengirimkan SMS ke nomor premium Rusia
NOMOR = "7255";
NOMOR = "7151";
NOMOR = "9151";
NOMOR = "2.855";
Setelah mengirim SMS, hanya sederhana ICQ aplikasi download dari situs yang sama: * DIHAPUS * / land_paysites / files / icq.jar
Untuk menunjukkan lebih baik apa yang terjadi ketika situs ini tercapai dari perangkat Android, Anda dapat memeriksa screenshot berikutnya.
Pada awalnya, file bernama, misalnya, browser.apk (94FDC9CFD801E79A45209BFDC30711CB393E39E6BF2DD43CE805318E80123C14)-download ke perangkat - tanpa sepengetahuan orang tersebut.
Anda dapat melihat di jendela install bahwa aplikasi ini menginginkan akses ke layanan mencurigakan yang biaya uang. Bahkan dalam izin aplikasi Anda dapat menemukan izin yang mencurigakan untuk pesan Anda dan langsung menghubungi nomor telepon yang dapat dikenakan biaya uang, juga. Tapi untungnya avast! berhenti aplikasi ini sebelum dapat dikenakan biaya sejumlah besar uang.
Jika pengguna menginstal aplikasi ini, perilaku yang sangat mirip dengan non-perangkat Android. Perangkat mengirimkan membayar pesan teks ke angka-angka dan kemudian download dan menginstal browser Dolphin dasar dari h *** t.ru / land_browsers / files / dolphin.apk
Pengguna harus benar-benar berhati-hati jika mereka ditemukan pada perangkat mobile mereka beberapa aplikasi yang tidak diketahui. Untungnya semua orang bisa membaca di mana aplikasi akan mendapatkan akses ke tapi sayangnya banyak pengguna tidak benar-benar memperhatikan izin yang diperlukan dan dapat biaya mereka banyak uang tetapi menggunakan antivirus yang baik dapat membantu mereka untuk dilindungi.
