Le 12 décembre 2011

Doctor Web signale que les sites piratés qui redirigent les utilisateurs des mobiles vers des pages propageant des programmes malveillants se sont multipliés. Selon les estimations de Doctor Web, environ 100 sites piratés fonctionnent sur l’Internet russe (Runet), et même si certains d’entre eux sont désinfectés, de nouveaux continuent à être piratés régulièrement.

Les utilisateurs de smartphones, de tablettes sous Android et d’autres plateformes compatibles avec Java (par exemple, Symbian) ont été récemment ciblés etredirigés vers un site imitant le site officiel d’Opera Mini proposant de mettre à jour le navigateur. Sous la soi-disant mise à jour, se cache le trojan Android.SmsSend (.jar ou .apk en fonction de l’OS).

Les logiciels antivirus ne sont pas capables de prévenir la redirection vers des pages pirates car c’est la page même qui effectue la redirection, en revanche, ils peuvent bloquer le téléchargement d’un programme malveillant par un mobile.

En profitant des vulnérabilités des pages web, les malfaiteurs obtiennent un accès à une page et remplacent le fichier .htaccess. Ensuite, à chaque visite sur la page piratée, le serveur vérifie le user-agent de l’utilisateur et lorsqu’il appartient à un mobile compatible avec Java, y compris Symbian et Android, la redirection s’effectue vers une page pirate.

Vu que les pirates utilisent toujours les mêmes vulnérabilités et agissent de la même façon dans tous les cas, nous pouvons supposer que le piratage est réalisé à l’aide de programmes spécialisés. Selon les estimations de Doctor Web, dans Runet (Internet russe), environ 100 pages web piratées continuent de fonctionner, et lorsque certaines sont réparées d’autres continuent à se faire pirater. L’administration de plusieurs sites confirme que même s’ils arrivent à désinfecter leurs pages web assez rapidement, les malfaiteurs obtiennent de nouveau l'accès très rapidement. Il est possible que deux groupes de malfaiteurs travaillent, l’un piratant les sites tandis que l'autre est propriétaire du logiciel malveillant (Android.SmsSend sous une fausse application Opera Mini). Aujourd’hui, nous connaissons une série de « programmes partenaires » entre les pirates proposant de faire des redirections vers les sites propageant des trojans. Sur l’image ci-dessous, vous voyez un exemple des statistiques internes des pirates (date, nombre de téléchargement, somme gagnée, etc)

Doctor Web conseille les propriétaires et les administrateurs de sites de mettre à jour régulièrement le logiciel antivirus installé sur leur site et d'installer toutes les applications nécessaire à leur la sécurité, ainsi que contrôler les fichiers .htaccess . Les pages web propageant des logiciels pirates ont déjà été ajoutées aux bases des sites non-recommandés Dr.Web.