Это только у меня? Что это?

Это не с мисты, а с гугл рекламы которая присутствует на месте.у всех качается эта гадость, антивир в помощь или тупо не открывать и удалять

А что там устанавливается?

Троянчик, палит инфу , смс, банк приложения, перехватывает коды с банка и прочее, версии разные

Не рискнул ставить тем более сам гугл и пишет что это неизвестный источник и предлагает помолиться.  Не думаю что с гугла. Да и блоков рекламы такой не видел и тем более не тыкал

Не знаю можно ли тут ссылки, тут аналог http://4pda.ru/forum/index.php?showtopic=762443

Гугл даже сам признал что дырища была, но сейчас кончится что все починили, но это не так

Ага и такой файл тоже есть в загрузке

Ну гугла же много в каких сайтах сидит, а качается только с мисты

С мэйла качается тоже, гугл же разную рекламу сует, таргетированную, изредка видимо сует случайную, вот в ней и зловреды живут, механизм мне не известен)

Тащусь от вирей под linux/android... которые самим нуна скачивать/устанавливать... Интересно а они тока arm или x86 тоже?

(8) С нас ничего качаться не может. У нас никаких апк на сервере нет.

(10) Ну, под Windows это тоже - пройденный этап - все шифровальщики именно так на компьютеры жертв и попадают.

(10) Так у людей рефлекс: скачал - запустил.
И многие же живут с включенной галкой про установку из левых источников.

поставил вэбы. нашел убил. прикольные звуки издает :)
http://i.imgur.com/ZUzVodV.png

а вот как начинается
http://i.imgur.com/zG6sh2Q.png

Нормальный такой зоопарк

(11) Как так нет ? А 14, 15 ?

В ответ бот получает список следующих команд, которые передаются ему в формате JSON:

8e9ql9skqf – установить время следующего соединения с командным центром;
server – изменить адрес командного центра;
izqfugi7n8 – занести в конфигурационный файл список номеров, сообщения с которых будут скрываться от пользователя;
mzybm1q2eh – занести в конфигурационный файл список номеров, сообщения с которых будут пересылаться на управляющий сервер;
hgany9c0rj – убрать из конфигурационного файла список номеров, сообщения с которых будут скрываться от пользователя;
tyo2pxb1wr – убрать из конфигурационного файла список номеров, сообщения c которых будут пересылаться на управляющий сервер;
gz7j2ph7eg – отправить СМС-сообщение с заданным текстом на указанный в команде номер;
ligtd7jxxr – загрузить и попытаться установить приложение (необходимо подтверждение пользователя);
hmq3nlddk3 – попытаться удалить заданное в команде приложение (необходимо подтверждение пользователя);
notification – вывести в область уведомлений сообщение с заданным в команде текстом;
1lo8lsn7un – открыть в браузере заданный в команде веб-адрес;
ozs44xicjk – отправить на управляющий сервер список контактов;
88h4s39ead – отправить на управляющий сервер список установленных приложений.
Троянец выполняет рассылку СМС-сообщений на сервисные номера нескольких российских кредитных организаций, а также одной из популярных платежных систем с целью получения информации о состоянии банковского счета пользователя и принадлежащих ему банковских карт. В случае получения необходимых сведений Android.BankBot.33.origin при помощи специальных СМС-команд переводит все доступные денежные средства на счет злоумышленников.

блин. рано выбросил 3110

(13) Виктор ты понял что это было? Я сейчас попробую андроидом зайти...

У меня ничего не вылезло, куда надо нажать чтобы вирус возник?

Или оно уже установилось? O_o

(0) У меня тоже такое было. NOD32 сразу удалял. Я грешил на WiFi в метро

(23) А как чужой вай-фай может подсовывать в страницу всякую гадость? Проксирование что ли какое-нибудь?

(24) На чужой вайфай кузовок не разевай. (навеяло).

(20) Вариант #1 - левый баннер в АдСенсе
Вариант #2 - подмена баннеров всякими публичными вайфаями, прокси-серверами, ну и провайдерами

(26) Если не https|ssl то публичные (и не очень публичные) wifi легко что угодно подменят ))

Типа качает кто то официальное .exe/.msi приложение... а получает с троянчиком ))

(27)+ гугл же не просто так начинает все сайты принудительно на ssl сертификаты переводить

Блин раньше на винде нельзя сидеть было, теперь и до андроида добрались. Кстати насколько я понял эта хрень устанавливается только у того, у кого можно посторонние приложения ставить - так?

(29) Она сама не устанавливается, она предлагает себя установить

загрузка начинается при кликаньи мышки в любом месте страницы, а не в банере, т.е. гдето чтото перехватывает нажатие. наверно дыра в хроме андроида

(31) Перехват клика элементарно делается парой комманд на javascript или activescript.
Я вот не помню, в Андроиде флеш отключить можно?

(32) в настройках не нашел, но есть отключить javascript.
а та пара команд всетакие должна физически записаться в файлы на хостинге сайта? или в ком и где

Xenium E570 только что вышел - полгода(!) без подзарядки в режиме ожидания.

Самое время купить

(34) правда, на нем мисту читать не получится

(26) Именно, подмена. Я на википедию как-то зашел с "бесплатного вифи" на ж/д вокзале и увидел туеву хучу баннеров и всяких "типа новостей" - всякие рекламы и накрутки счетчиков посещения.

Отключился.
Включил свой модем 3Г.
Включил википедию со своего модема - чисто, красиво, баннеров нет.

(32) А с выключенным джава-скрипт миста не работет

Мне вчера такое прилетело, не знаю даже, откуда. Удалил сразу.

Кстати, вопрос к общественности: CM Security действительно обнаруживает вирусы, или тупо фикция?

Вот этот: https://play.google.com/store/apps/details?id=com.cleanmaster.security

я почитал про антивирусы что им почему то религия не позволяет использовать рут-права, а без них, установленного виря уже не удалить - только сможет уведомить и дальше сам

(40) Рут-права никакая программа получать не должна априори, если сделать так, что какие-то программы могут их получить, то значит, что остальные (в том числе и вирусы) точно также смогут их получить.
(32) Вот почему нельзя сделать чтение форума без javascript - так как в этом режиме никто и ничего не перехватывает вообще ???

(41) Ты еще в gmail или facebook напиши, почему ими нельзя пользоваться без javascript.

а как быть если бабушка нажала УскорнитьАдроид и дала согласие на рут и он все везде "ускорил", чем лечить если антивири только покажут и домой уйдут

(33) Для непонятливых — этот код подсасывается не с сайта мисты. По пути следования от сервера до вашего браузера есть масса точек, где можно вмешаться и вставить что-то свое. Начиная от сомнительных прокси (с помощью которых многие любят обходить выверты Роскомнадзора), через провайдеров и операторов открытых и не очень WiFi (показываем пальцем на WiFi в метро, где в страницы вставляется левая реклама),
заканчивая ПО на телефоне. Были случаи, когда производители подсовывали свои "особенные" модули.

У супруги на аппарате я долго боролся с левыми всплывашками и меняющейся стартовой страницей, пока не поменял дефолтный "самый удобный и красивый" лончер от производителя на более другой из маркета.

(43) Откуда у бабушки рут на Андроиде?

получается что уже рулит Акронис для Андроида...

(42) Для gmail есть приложение для чтения почты.
Что там с facebook я не знаю - я им никогда не пользовался.

Дома я вчера через свой же WiFi заходил на мисту с андройда - искал где же что-то скачивается - и так ничего и не нашёл.
Куда шлёпнуть мышью - не очень понятно, так как попадание пальцем мимо ссылки приводит или к перемасштабированию или к выделению части текста.
P.S. браузер был Firefox.

(46) у бабушки может и нет, но согласилась на установку. а некоторые трояны после установки сами могут получить рут.
"Одновременно зловред пытается повысить свои системные привилегии до уровня root, для чего использует модифицированный злоумышленниками хакерский пакет com.apkol.root. В случае успеха вредоносная программа устанавливает в системный каталог /system/app приложение NetworkProvider.apk,"
(49) у меня тоже не каждый раз это срабатывает и браузер нужен родной хром

(50) этож чтобы согласится, надо пойти в настройки, включить установку недоверенных приложений, и ещё раз запустить установщик.