[Нам пишут] Вирусы и на iOS? Разберемся!

54

virus-2

То, что редакция AppleInsider.ru очень ценит и любит своих читателей — известный факт. А читатели в свою очередь отвечают нам взаимностью и пишут интересные письма. Как, например, пользователь, известный в «Твиттере» как real666maverick, который рассказал нам о том, что ему удалось обнаружить вирус, который пытался заразить iPhone. На такие вещи мы не можем не обратить внимание и не рассказать вам. Поехали.

Вот, собственно, и текст самого письма.

Привет!

19 апреля примерно в 23 часа на iPhone 4 (без джейлбрейка) моей жены пытался пробраться вирус через официальную «баннерокрутилку» для бесплатных приложений.

В free версии Angry Birds появляется следующий рекламный баннер: «Срочно обновите Skype«. Проверил в App Store наличие обновлений для программы, думаю «ага, вот оно». Еще раз запускаем птичек, встречаем тот же баннер и кликаем по нему. Запускается окошко, стилизованное под официальный Skype (сделано очень хорошо, нужно заметить), в окошке сказано, что доступна новая версия программы и тому подобное.

Собственно, окошко

Через 3-5 секунд начинается анимация в окошке, типа что-то проверяется. В этот момент (это было окошко Safari) копируем ссылку и закрываем окно браузера. По ссылке лежит файл в формате .jar, а внутри midlet, то есть вирус «албанский» (в смысле, бесполезный и безвредный) для iOS, но под Android эта штука, наверное, заработает. Сайт skype4pda.ru с которого осуществляется закачка вредоносного объекта, дает 503 ошибку (Service Temporary Unavailable), но, зная хэшик (который получен в момент попытки заражения), можно скачать тело малвари.

В аттачменте к письму приложу само тело вируса skype_new.jar и содержимое забавного файлика data.db в текстовом виде (работа также ведется с url skypez2011.net/download/index.php, там, похоже, расположилось гнездо малварей), денежки вирусописатели пытаются заработать на принуждении пользователя отправить платные смс на короткие номера, эти номера видны, расценки там тоже есть, также проглядывают украинские корни вируса.

В качестве итога.

Для iOS вирус не сработает, но судя по содержанию, его также впаривают и на Android, что может привести к многим печалям. Странно то, что вирус приезжает через оф. баннерокрутилку в бесплатных приложениях, и вот это совсем не радует.

По понятным причинам мы не можем опубликовать тело вируса на страницах нашего сайта, но никто не запрещает вам самим все проверить, благо ссылки мы предоставили, и рассказать о своем опыте в комментариях.

54 комментария

  1. 0
    Тарас Спивак

    Пересылайте чаще ведроидофанам, пусть выбирают правильный путь 😉
    (отправлено из приложения AppleInsider.ru)

  2. 0
    Mister Хэ

    Нужно звать Веба или Касперского в гости.
    (отправлено из приложения AppleInsider.ru)

  3. 0
    Бальдр

    На андройде джавы по-умолчанию нет. При желании джава машина ставится, но зачем она там нужна, известно немногим.

    • 0

      Бальдр, Играть в j2me игры?
      (отправлено из приложения AppleInsider.ru)

    • 0

      Бальдр, чего?O_o чего там нет по умолчанию? O_o вы мил человек хотя бы на ту же вики загляните, да почитайте, прежде чем коментить.

      • 0
        Бальдр

        Maksizub, Вы бы не в вики глядели а в сути вопроса разобрались, хотя бы в том что такое мидлет, и какое он оиношение имеет к андроид. И что такое JIT. И что такое dalvik. Мил человек.

        • 0

          Бальдр, В какой сути? Какая мне к чертовой бабушке сейчас разница, что оно там делает, вы написали, что Ява машины в Андрюше по дефолту нету, я опроверг ваше высказывание, причем я прав, а вы начинаете мне впаривать чушь, по поводу мидлет. Мидлет вообще приложение блин на Яве , на моей нокия еще такие есть.
          (отправлено из приложения AppleInsider.ru)

          • 0
            Бальдр

            Maksizub, Если кто-то в википедии написал глупость, то это не означает, что нужно ее тиражировать. Замечу, что глупость эта наличиствует только в русской википедии. Если сходить в англоязычную, то можно обнаружить, что в андроиде есть далвик ВМ, и все общее что у нее есть — это java совместимый ЯП. Никакие java приложения в андроиде не работают, ровно как и наоборот. И тем более не работают мобильные java приложения, которые мидлеты.

        • 0

          Бальдр, И кстати , выучи Русский язык, а то у тебя там, где запятые нужны их нет, а где не нужны — есть. Огорчает…..
          (отправлено из приложения AppleInsider.ru)

    • 0

      Бальдр, Есть не только игры, но и проги на джаве, которые нужны для работы… Печально, от джавы все дыры…
      (отправлено из приложения AppleInsider.ru)

  4. 0

    Кстати зря иронизируете 🙂 ведь jailbreakme.com использовал уязвимость, которую так же можно было использовать для загрузки вредоноса вместо Cydia. Не даром Comex советовал ставить PDF patch.

    Т.е. Сценарий вполне мог бы быть обычным — заходишь на сайт, через уязвимость цепляешь дерьмо. Кстати поэтому Apple так торопилась закрыть дырку, а не потому что не любит jail.
    (отправлено из приложения AppleInsider.ru)

  5. 0

    Обновляться надо в app store, а не по рекламе, я тут вчера буквально в инете сидел с айфона через сафари, и выпрыгнуло объявление типа есть обновление для сафари, началась якобы загрузка и через пару секунд вылезло окно «отправь е смс на номер…» я посмеялся закрыл эту чушь, но было забавно
    (отправлено из приложения AppleInsider.ru)

  6. 0
    Mister Хэ

    Только что через Твиттер наткнулся на такую тему:
    Некий чувак по имени Антон Гаген, а точнее это ретвит от Top Tweets, задает вопрос на тему какую кредитку выбрать. Дальше ссылка, при нажатии на которую попадаешь на страницу «Центр обновлений». На странице написано: Рекомендуем обновить браузер Safari! ………. Дальше предлагают узнать преимущества версии 7.1 и ниже кнопка «загрузить». Мне стало интересно, что пытаются впарить. Подумал, что если что-то и подхвачу, то просто переустановлюсь. Пароль незадолго до этого не вводил, так что бояться было нечего. Официально, естественно, iPhone не предлагает никаких обновлений. Нажал «загрузить». На следующем экране появилась строка с анимацией загрузки разных файлов и текс: Идет проверка и установка нового приложения: Safari. Подождал пока всё «загрузится». Текс в новом окне: Установлено! Новое приложение Safar (без последней буквы) готово к установке. Введите Ваш номер телефона…. Ну и так далее. Ввел просто 0. Дальше экран: Установлено! Вам отправлена бесплатная СМС с запросом подтверждения. И всё это не выходя из Твиттера. Сделал скриншоты каждого экрана, если кому надо. «Top Tweets» в перерывах между основной деятельностью лохотронят?

  7. 0

    Вставлю 5 копеек 😉
    Формат статьи не подразумевает наличие больших текстов. Кому интересно содержание data.db (можно зачитаться ;)) я в дропоксе выложил (http://dl.dropbox.com/u/5305841/trash/data.db2text.txt)

    А вот с по этой ссылке можно забрать полное тело вируса: ХТТП//:skype4pda.ru/?a=t294r254v215x2w4u2w403m244l2u266p2236413942394t29423

  8. 0

    На своем incredible s вычиститься от вирусни не могу,постоянно всплывает в панели уведомлений хрень ,отправку смс на короткие номера оператор (utel ua ) заблокировал еще перед покупкой своего первого телефона на андроид (htc magic),так как знал чем чреваты подобные «вирусы»и так как частенько оставляю телефон в руках дочурки ,это оказалось неплохим выходом.
    Софт ставлю только из маркета и Одного давным давно проверенного сайта
    Первый раз заразился подобной штукой через обновление приложения
    Superuser на маркете, вычистил…через месяц опять началось,нашел вычистил,потом опять
    Счас забил на все,спам появляется ,жму очистить в панели и все
    Благо на моих ios устройствах этого нет
    (отправлено из приложения AppleInsider.ru)

    • 0

      West, Вот интересно, если телефон остается в руках ребенка, то какой смысл писать, что софт ставится из гуглоплея? (кстати маркет сейчас — это страничка вирусописателей, а магазин у Гугл- называется плей;)
      А лечение всякой дряни следует начинать с возврата телефона к фабричным установкам… И не забудьте ДокторВеба потом воткнуть — он бесплатный на Андройде, похоже тут тоже скоро понадобится, джейлбрейкерам особенно))
      (отправлено из приложения AppleInsider.ru)

      • 0

        Any, Стоит давно ваш доктор
        Сброс к заводским установкам не помогает если вирус в таком приложении как superuser,вам ли этого не знать
        Ребенок получает телефон в режиме самолета,дочери три года,устанавливать она не умеет

  9. 0
    Дмитрий

    > По ссылке лежит файл в формате .jar, а внутри midlet, то есть вирус «албанский» (в смысле, бесполезный и безвредный) для iOS, но под Android эта штука, наверное, заработает.

    под Android эта штука, наверное, заработает
    наверное, заработает
    наверное
    *ржу*
    @real666maverick учи матчасть, наверное.

    • 0

      Дмитрий, ага, пошел учить матчасть и ковырять jad’ом классы 😉 http://www.umnet.com/download-software/12778-Jbed_Java_Midlet_Manager_for_android
      запустить можно — а вирус, как и было сказано албанский 😉 и ничто не мешает исполнить жаба код через какую либо уязвимость webkit’а если такая найдется в браузере (и похрену как он будет оформлен)

      и если честно смотреть особо не интересно не анноит меня это

      p.s. смотри иногда в профили что ли, всегда ваш KO 😉

      • 0

        maverick, +10))))
        (отправлено из приложения AppleInsider.ru)

      • 0
        Бальдр

        maverick, Жабакод вы вебкитом не выполните на мобильной ос никак, т.к. такого рода расширения эти браузеры не поддерживают, ни на ios, ни на android. А вот поставить эмулятор среды JM для запуска вируса, это ход конем, каждый второй так и делает, я думаю. Кстати, такая возможность есть и на Ios. Интересно глянуть на того, кто ей воспользовался.

  10. 0

    А баннер зачем кликать? Все программы обновляются через App Store,почему бы не обновлять через него? И помните, критически важных обновлений не было, нет, и не будет!
    (отправлено из приложения AppleInsider.ru)

    • 0

      Dangener, +1
      (отправлено из приложения AppleInsider.ru)

    • 0

      Dangener, в сообщении было указано, что сходил в appstore и посмотрел что нет обновлений!!! после этого и пошел смотреть что там предложит замечательный баннер, ПРЕКРАСНО ПОНИМАЯ ЧТО ЭТО ФЭЙК и ЗАРАЗА 😉 Немного изменили редакторы 😉

  11. 0
    Вячеслав

    > официальную «баннерокрутилку» для бесплатных приложений
    что значит «официальную»? у птичек наверняка своя партнерка

  12. 0

    У меня дружище на андроиде так оперу обновил, встало в 3 смски на короткий номер по 300 рублей, как я понял они автоматом отправились. В течении часа выноса мозга сотрудникам опсоса деньги вернули. После этого я и все друзья сразу поставили все платные короткие номера в черный список.
    (отправлено из приложения AppleInsider.ru)

  13. 0

    Такая же фигня была, в аське IM+ сидел, в рекламе было написано срочно обновить скайп, решил посмотреть что за чушь, т. к. В аппсторе не было обновления, а там это…. Все это хрень конечно, но посмеялся)
    (отправлено из приложения AppleInsider.ru)

  14. 0

    недавно имел возможность убедиться в «наличии» вирусной ерунды на двух айпадах и аймаке — перенаправления с сайтов на какие-то нелепые либо рекламные, либо непристойные сайты или предложения обновить браузер и т.п.
    долго не верил своим глазам, а после разобрался, что проблема была в роутере. оказывается, они тоже могут подцеплять заразу и впоследствие отравлять жизнь тем, кто подцепился к их wifi. проблема решилась hard reset’ом.
    так что может быть не банерокрутилка виновата в этом случае?
    роутер то используется?

    • 0

      denswor, Корпоративная сеть одного из большой тройки? Я вас умоляю… 🙂 нет роутер к сожалению не причем

  15. 0

    «малвары» 😀
    (отправлено из приложения AppleInsider.ru)

  16. 0
    Руслан

    У меня было нечто подобное. Когда я искал интересующую меня информацию мне предложили обновить Opera ( хотя заходил я с Safari). И ссылка была .jad или .jar.
    (отправлено из приложения AppleInsider.ru)

    • 0
      Наташа

      Руслан, У меня постоянно такое, особенно когда хочу музыку скачать. И как-то было обновление Сафари
      (отправлено из приложения AppleInsider.ru)

      • 0

        Наташа, Сайты заражаются вирусом и предлагают обновить оперу. Наверное потому что опера сама таким банером пол страницы закрывает, с просьбой обновиться, и его легко подделать.

  17. 0
    virtualpower

    Аналогичная ситуация была, только предложили обновить Opera браузер, который надо отметить у меня на Афоне не установлен.
    (отправлено из приложения AppleInsider.ru)

  18. 0

    а ниукого не было вот такой ситуации лазил по просторам интернета и на одном сайте мне вылез вместо страницы окно ваш сафари устарел обновите ну я улыбнулся зная что сафари ниче нескачает в итоге нажал на загрузить и был в шоке сафари начал качать этот файл так он и был еще и в ipa я его недокачал не рискнул.
    (отправлено из приложения AppleInsider.ru)

  19. 0

    Предлагаю подытожить!и завязывать
    0. Вирус АЛБАНСКИЙ, без танцев с бубном плохого не сделает

    1. Никто не попробовал поковырять jar.
    2. Никто не удосужился почитать содержимое data.db
    3. В манифесте джарника написано, что для нокии собирали
    4. Судя по результатам jad, это поделие типа винлокера, начинаются траблы с сеткой (случайное закрытие файловых дескрипторов и тебе за сумму малую предлагают суппорт через отправку нескольких смс.

    На этом ковыряние с этой лабудой я прекращаю.

    Основной посыл в том, что в банерокрутилку пролезает хреновый контент, может он причинить вред или нет, не суть важно, он там появляется и это печалит.

  20. 0
    Аноним

    Байт-код официальной JVM на андроиде не заработает просто так, только дальвиковский.

  21. 0
    Болван

    Я загрузил на андроид и установил. Встало приложение 50 с копейками килобайт , копия Skype , ярлык имею в виду, и отправило три смс на короткие номера 7099. 7250 . 3652 , но установленный «запрет на платный контент» остановил отправку денеггг. Установленный антивирус пропустил.
    Как жить?

Авторизуйтесь Чтобы оставить комментарий