ИТ поддержка вашего бизнеса

+7 (499) 653-94-99

Заказать звонок

Мобильный редирект

Значительное количество обращений в нашу компанию связано именно с этим типом веб-заражения. Суть мобильного редиректа состоит в перенаправлении посетителей заражённого сайта, использующих браузеры для мобильных устройств, на сторонний ресурс.

Для чего устанавливают мобильный редирект?

Перенаправление пользователя на другой ресурс, как правило, контролируемый злоумышленниками, делается с одной из перечисленных ниже целей (при этом без ведома и согласия пользователя):

  • Установка на мобильное устройство вредоносного ПО (в основном – SMS-сендеры, реже – банковские трояны);
  • Установка на мобильное устройство легитимного ПО (способ раскрутки нового приложения);
  • Генерация трафика на сторонний ресурс (способ раскрутки этого самого ресурса).

Например, на одном из поражённых сайтов мы обнаружили php-инфектор, код в котором достаточно подробно и забавно прокомментирован. Вероятно, этот инфектор можно купить на одном из хакерских форумов.

Каким образом злоумышленникам удается разместить на сайте вредоносный код, обуславливающий мобильный редирект?

Основные методы установки на сайт системы мобильного редиректа следующие:

  • Подбор или компрометация (при помощи вредоносного ПО) пароля к панели администрирования CMS сайта. Иногда в подобных случаях злоумышленники устанавливают вредоносный модуль для CMS – специалистам нашей компании приходилось сталкиваться с вредоносными модулями для Joomla);
  • Подбор или компрометация пароля для доступа к площадке сайта по протоколу FTP;
  • Загрузка на площадку веб-шелла (web-shell) в результате эксплуатации уязвимости CMS. Веб-шелл позволяет произвести практически любые действия с файлами на площадке.

Например, на одном из поражённых сайтов мы обнаружили php-инфектор, код в котором достаточно подробно и забавно прокомментирован (см. рисунок ниже). Вероятно, этот инфектор можно купить на одном из хакерских форумов.

Одной из функций инфектора является удаление уже имеющихся в .htaccess директив. Сделано это на тот случай, если файл уже был ранее изменён другими злоумышленниками – несанкционированная установка мобильного редиректа на скомпрометированные сайты сейчас настолько популярна, что возникла конкуренция между мошенниками. Из-за этого один и тот же сайт за короткое время может подвергнуться данному типу атаки несколько раз.

В некоторых случаях файл .htaccess полностью затирается, что приводит к некорректной работе сайта – к примеру, при переходе по пунктам меню посетитель видит страницу с кодом ошибки 404. В процессе лечения мы восстанавливаем .htaccess из оригинального дистрибутива CMS, если имеется такая возможность.

Виды реализации мобильного редиректа

В нашей практике мы столкнулись с несколькими типами реализации мобильного редиректа:

  • Модификация файла .htaccess

Распространённый метод, имеющий существенный недостаток (для злоумышленника) – он работает только в случае, если зараженный сайт использует веб-сервер Apache (другие веб-серверы (nginx, lighttpd) не поддерживают .htacces). Код .htaccess в данном случае выглядит примерно так:

  • Подгрузка внешнего скрипта в index.php через функцию require_once()

Метод работает независимо от типа используемого веб-сервера. Пример кода:

  • Владелец веб-сайта самостоятельно размещает вредоносный код с целью получения дополнительной прибыли.

Как правило, сам владелец сайта даже не подозревает, что становится соучастником противоправной деятельности. Зачастую начинается всё с письма примерно следующего содержания:

Здравствуйте!

Предлагаем дополнительно заработать на вашем сайте *****.ru.
По статистике от 5% до 20% посещаемости любого сайта составляет мобильный трафик.
Эти посетители вам бесполезны. Установите наш код и зарабатывайте на каждом мобильном посетителе!
Выкупаем 100% вашего WAP трафика. Средняя цена по системе 25$ за 1000 мобильных хостов.

P.S. Вы ничем не рискуете. Для поисковиков наш код не заметен. Просто будете получать дополнительный доход!

В письме идёт описание того, что нужно сделать. Обычно – слегка модифицировать файл .htaccess сайта, чтобы весь мобильный трафик перенаправлялся на сайт, предложенный авторами письма. С виду, актуальное предложение для тех, чей ресурс не оптимизирован под мобильные устройства, то есть не имеет мобильной версии и с экрана планшета или смартфона смотрится страшно.

Воспользовавшись этим предложением, хозяин сайта лишается мобильного трафика, буквально «продав» его злоумышленникам.

Другой случай – когда владелец сайта устанавливает рекламный баннер, с целью честно заработать на нём и, не проанализировав JS-код баннера, не видит, что в него зашиты скрипты мобильного редиректа. При этом в течение долгого времени он может и не знать, что при попытке зайти на его ресурс с мобильного устройства, его пользователи видят совершенно другую страницу. И что она распространяет – никому не известно, зато в случае заражения пользователи будут винить именно ни о чем не подозревающего владельца нормального сайта, ведь введён-то был адрес его сайта!

Сложность в определении подобной «подставы» от «партнёров» в том, что при открытии на стандартном ПК сайт продолжает работать в прежнем режиме, при щелчке по баннеру открывается вполне легитимный сайт, о партнёрстве с которым и было соглашение. И лишь при открытии сайта с мобильного устройства срабатывает редирект и пользователь переходит на подставной ресурс.

Для проверки «чистоты» своего сайта, владелец может использовать плагин UserAgentSwitcher для FireFox, позволяющий имитировать визит на сайт с разных платформ, в том числе мобильных. Если при имитации мобильного устройства сайт выглядит иначе – проблемы налицо.

Самое интересное, что реализация этого механизма переключения у скриптов мобильного редиректа крайне проста: для стандартных браузеров скрипт работал как обычная картинка-ссылка, а для мобильных в конце того же скрипта добавлялась строка кода вида:

setTimeout(function(){window.location=’http://*****.net/?a=t2d4w294z215y2w4u2w423m254l2u266r2z274w2e423d413e4y2′},1000);

Стоимость услуги по лечению сайта от вирусов составляет от 2000 рублей за один сайт с неограниченным количеством страниц

Наши специалисты всегда к Вашим услугам! Обратиться к нам можно любым удобным для Вас способом:

  • Оставьте заявку в специальной форме, которую вы видите на каждой странице справа;
  • Позвоните нам по телефону: +7 (499) 653-94-99;
  • Напишите запрос в произвольной форме на info@itssupport.ru.