Эксперты по безопасности из компании Lookout обнаружили не менее десятка веб-сайтов, активно атакующих Android-смартфоны путем «подсаживания» вирусов. По имеющимся оценкам, это первый случай, когда скомпрометированные веб-сайты и веб-страницы используются для заражения мобильных устройств. Вирус, который используется в этих атаках, получил название NotCompatible и способен в теории получить доступ к корпоративным сетям и другим защищенным системам.

Вирус NotCompatible загружается на Android-смартфоны при просмотре зараженных веб-сайтов. HTML-тег «iframe» в тексте веб-страниц содержит скрытую ссылку на вредоносную программу, причем загрузка выполняется автоматически после ухода с зараженного ресурса. Далее вредоносные сайты запрашивают у пользователя разрешение на установку загруженного приложения. Установка вируса возможна только на телефонах, где включена возможность запуска приложений из источников, отличных от фирменного магазина Play Маркет.

Вообще говоря, взломанные веб-сайты часто используются для распространения вирусов, но обычно жертвами становятся пользователи ПК. Новый вирус NotCompatible представляет собой первую известную атаку такого рода, целью которой являются пользователи смартфонов. В то же время специалисты из Lookout утверждают, что их фирменный мобильный антивирус успешно справляется с блокированием нового вируса.

Открытие компании Lookout лишний раз подтверждает тезис, который разработчики системы Android (и любых других платформ) давно стараются донести до пользователей — загружать приложения лучше и безопасней из официальных источников. Кроме того, подтверждение на установку запрашивается не сразу при загрузке вируса, а в любой момент, когда, например, пользователь выполняет массовое обновление своих приложений через Play Маркет. Если это правда, разработчикам Android лучше исправить такое поведение своей системы, даже ценой изменения стандартных настроек по установке программ.

Насколько известно, посещение зараженных веб-сайтов с помощью других устройств (не на базе Android) приводит лишь к сообщению об ошибке, которое фактически блокирует любую вредоносную активность. В то же время, если клиентский браузер заявляет, что работает на Android-аппарате, специальный HTML-скрипт автоматически начинает принудительную загрузку вируса через серию доменов, включая gaoanalitics.info и androidonlinefix.info. Сервер контроля и управления размещается в домене notcompatibleapp.eu. Общее количество сайтов, распространяющих вирус для Android через веб-браузер, пока не превышает 10, но в ближайшее время таких сайтов может стать гораздо больше.

Технически вирус NotCompatible представляет собой троянца для Android, который выступает в роли простого ретранслятора/прокси-сервера для протокола TCP. При запросе подтверждения на установку вирус утверждает, что является системным обновлением. На текущий момент вирус не наносит явного ущерба зараженным устройствами, но в потенциале может быть использован для получения несанкционированного доступа к частным сетям путем превращения Android-смартфона в прокси-сервер.

http://soft.mail.ru/