Questo malware è Android?

1

Mi viene reindirizzato casualmente a una pagina che sembra molto sospetta, in particolare l'URL che invia il payload codificato Base64. Accade solitamente quando faccio clic su un collegamento di notizie, di solito un sito di notizie locali. Quindi pensavo che il sito di notizie fosse probabilmente compromesso. Di recente però è successo quando ho cliccato su un articolo su msn.com. Quindi ora penso che potrebbe essere il mio problema. È un Samsung Galaxy S5, completamente aggiornato.

Ho solo copiato l'URL una volta, quindi non sono sicuro che cambi, ma qui è quello che ho catturato (NON ANDARE A QUESTO):

data:text/html;base64,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

Ho anche catturato 3 screenshot della pagina:

  1. Il popup iniziale
  2. La pagina dietro il popup
  3. La pagina dietro il popup, scorrendo verso il basso

L'ultimo screenshot viene aggiornato in tempo reale con post falsi.

Qualcuno sa di cosa si tratta e come eliminarlo?

    
posta rys 12.09.2016 - 15:45
fonte

2 risposte

1

Ho fatto succedere la stessa cosa Sì, questo è un tentativo di infettare il tuo sistema con malware. Potrebbe essere stato consegnato tramite messaggio di testo, messaggio skype o sito Web infetto. Quello che devi fare è andare nella cache dei dati dell'app Chrome e cancellare tutti i dati dall'app Chrome. Questo ha risolto il problema per me. Sto indovinando che questa è una sorta di javascript che viene memorizzato nella cache nella memoria dati di Chrome.

    
risposta data 12.09.2016 - 16:34
fonte
0

Che cos'è questo?

Qualcosa da qualche parte sta iniettando cose nel tuo traffico HTTP. L'URL in questione è un URL di dati , il che significa che il browser legge tutto il contenuto della pagina dall'URL.

Il contenuto del tuo è questo HTML (spazio bianco inserito da me):

<!DOCTYPE html>
<html>
  <head>
    <meta name="viewport" content="width=device-width, user-scalable=false, initial-scale=1.0, maximum-scale=1.0">
  </head>
  <body>
    <div id="ifrm" style="padding:0; margin:0;">
      <iframe src="https://s3.amazonaws.com/www.aotq4jgqy9n71.info/US/wpewekk3303lkekkk11kk.html"style="top:0; left:0; width:100%; height:100%; position: absolute; border:0" scrolling="yes" allowFullScreen="yes">
      </iframe>
    </div>
  </body>
</html>

Questo è fondamentalmente un iframe che copre l'intera pagina che mostra questa pagina:

https://s3.amazonaws.com/www.aotq4jgqy9n71.info/US/wpewekk3303lkekkk11kk.html

Non so a cosa serva quel sito e non ho voglia di visitarlo, ma di solito è phishing, pubblicità, malware o qualche tipo di truffa.

Fondamentalmente, qualcuno sta iniettando nel tuo traffico web per cercare di farti guadagnare soldi.

Che cosa l'ha causato?

Posso vedere due opzioni qui:

  1. Malware sul telefono che lo inserisce.
  2. Qualcuno sulla rete (tra te e le pagine web che visiti) inserendolo. In pratica, se sei sulla tua rete domestica, questo significa il tuo router.

Quindi come individuare qual è?

  • Se questo accade su molte reti diverse (ad esempio anche quando utilizzi il 4G, il Wi-Fi nella caffetteria, ecc.) probabilmente è il tuo telefono.
  • Se ciò accade su più dispositivi (ad esempio anche il tuo laptop) è probabilmente il tuo router.
  • Se ciò accade anche quando visiti siti che utilizzano HTTPS, probabilmente è il tuo telefono.

Come ci si sbarazza?

Se è il tuo telefono, non c'è altro da fare che " nuke dall'orbita ". Ciò significa pulire il telefono e ripristinare completamente i dati di fabbrica.

Se è la tua rete, farei un reset di fabbrica sul router (di solito c'è un pulsante per quella da qualche parte). E poi ricorda di riconfigurare il router con criteri di sicurezza sonori.

    
risposta data 13.09.2016 - 14:07
fonte

Leggi altre domande sui tag