В последнее время участились случаи взлома веб-сайтов с целью перенаправления пользователей мобильных устройств на ресурсы, распространяющие вредоносное ПО. Подобные атаки отмечались и ранее, однако в последнее время их число заметно возросло. По оценкам специалистов, в Рунете одновременно работает порядка 100 взломанных злоумышленниками площадок, при этом оперативное устранение следов заражения на некоторых из них компенсируется новыми взломами.
Многочисленные владельцы смартфонов и планшетов, работающих под управлением ОС Android и других системных платформ с поддержкой Java (например, Symbian), в последнее время стали замечать, что они лишились возможности посетить свои любимые сайты. При открытии некоторых веб-страниц происходит автоматическое перенаправление пользователя на интернет-ресурс, имитирующий оформление официального веб-сайта Opera Mini и предлагающий загрузить обновление браузера. Под видом такого обновления, распространяемого в зависимости от типа клиентской ОС в виде либо, файлов .jar либо, приложений для Android (.apk), обычно скрывается троянец семейства Android.SmsSend, сообщает компания Dr.Web.
Антивирусное ПО не в состоянии предотвратить редирект пользователя на принадлежащие сетевым мошенникам сайты (но при этом блокирует попытку загрузки с подобных ресурсов вредоносных программ), так как перенаправление осуществляется самим веб-сайтом, к которому обращается пользователь.
Эксплуатируя уязвимости установленных на подобных сайтах серверных приложений, таких как «движки» форумов и системы управления контентом (CMS), злоумышленники получают доступ к сайту и подменяют хранящийся на сервере файл .htaccess. В результате этих изменений при каждом обращении к взломанному интернет-ресурсу сервер проверяет user-agent пользователя, и в том случае, если клиентский браузер работает на мобильной платформе с поддержкой Java (в том числе Symbian и Android), происходит переадресация пользователя на принадлежащий злоумышленникам сайт.
Поскольку злоумышленники используют одни и те же уязвимости для организации несанкционированного доступа к различным ресурсам и действуют по стандартной схеме, можно предположить, что взлом осуществляется автоматически с использованием специализированного ПО. Администрации многих интернет-ресурсов сообщают о многократных случаях взлома: несмотря на то, что владельцам сайта удается быстро удалить вредоносные объекты, через некоторое время злоумышленники вновь берут ресурс под свой контроль. Также можно предположить, что взломщики действуют в кооперации с владельцами партнерских программ, распространяющих Android.SmsSend под видом поддельных обновлений для Opera Mini. В этом случае действуют две независимые группы злоумышленников, одна из которых специализируется на взломе сайтов, а вторая — на «раздаче» вредоносного ПО. В настоящее время известно несколько «партнерских программ», предлагающих хакерам плату за перенаправление трафика на распространяющие троянцев сайты. Пример внутренней статистики одной из них показан на иллюстрации ниже.
