Come illustrato ieri le pagine di falsi market Android, specialmente su siti .ru, si stanno diffondendo in maniera estesa.
Perche' queste pagine possano pero' essere utili alla distribuzione del malware bisogna che le stesse siano visitate dal maggior numero possibili di utenti Android alla ricerca di applicazioni spesso free e dal nome noto.
Ecco quindi che si utilizzano pagine di redirect che spesso simulano motori di ricerca, come visto ieri, ma con fake layout Google sicuramente molto piu' curato nei dettagli.
Particolarita' odierna e' che il link non e' mirato ad utenti est europei ma parrebbe coinvolgere utenza italiana, cosa poco vista sino ad ora.
Ricercando su Google possiamo infatti trovare questa pagina,
Ecco quindi che si utilizzano pagine di redirect che spesso simulano motori di ricerca, come visto ieri, ma con fake layout Google sicuramente molto piu' curato nei dettagli.
Particolarita' odierna e' che il link non e' mirato ad utenti est europei ma parrebbe coinvolgere utenza italiana, cosa poco vista sino ad ora.
Ricercando su Google possiamo infatti trovare questa pagina,
che tra l'altro lasca un attimo perplessi in quanto da una ricerca si viene portati stranamente, su un'altra pagina di ricerca...., ma che ad una analisi dei contenuti mostra essere un clone ben riuscito.
Gia' un whois presenta
Gia' un whois presenta
cosa che non fa certo pensare a possibile sito Google, ma basta anche vedere che qualunque dei link dei risultati cliccati punta sempre a falso market Android
Questi i link presenti sulla pagina
con source
con
Per di piu' variando la parte numerica della url possiamo trovare differenti 'risultati' di ricerca con varie lingue utilizzate.
ed anche
E bene sottolineare ancora una volta che non sono pagine Google ma falsi ... anche se il layout e' pressoche' uguale a quello reale Google.
In dettaglio, osservando la pagina proposta in lingua italiana, i link visualizzati esistono realmente e sono legittimi ma vengono utilizzati solo per dare maggiore attendibilita' al layout in quanto tutti ed indistintamente puntano al sito di fake market.
Il sito di Android Market a cui si viene rediretti con whois (quindi non solo Est Europa)
presenta layout gia' noto e diffuso con i consueti files apk
ad esempio
che VT analizza come
Si tratta sempre di codici che propongono falsi install e con invio nascsto di SMS a siti a pagamento.
A conferma della grande diffusione di questi falsi market basta anche interrogare la url corrispondente alla homepage del falso motore di ricerca per ritrovare il medesimo layout del market fasullo.
In definitiva un insieme di pagine fasulle di risultati di ricerca Google che proponendo anche testo in lingua italiana fanno capire come il 'mercato' del malware Android stia puntando non solamente ai soliti utenti .ru ma cerchi di diffondersi anche al di fuori dei paesi dell'est Europa, Italia compresa.
Edgar
Nessun commento:
Posta un commento