¿Es este malware de Android?

1

Me redireccionan al azar a una página que parece muy sospechosa, especialmente la URL que envía la carga útil codificada en base64. Generalmente sucede cuando hago clic en un enlace de noticias, generalmente en un sitio de noticias local. Así que pensé que el sitio de noticias posiblemente estaba comprometido. Sin embargo, recientemente ocurrió cuando hice clic en un artículo en msn.com. Así que ahora creo que puede que mi teléfono sea el problema. Es un Samsung Galaxy S5, totalmente actualizado.

Solo copié la URL una vez, así que no estoy seguro de si cambia, pero aquí está la que capturé (NO VA A ESTO):

data:text/html;base64,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

También capturé 3 capturas de pantalla de la página:

  1. La ventana emergente inicial
  2. La página detrás de la ventana emergente
  3. La página detrás de la ventana emergente, se desplazó hacia abajo

La última captura de pantalla se actualiza en tiempo real con publicaciones falsas.

¿Alguien sabe qué es esto o cómo deshacerse de él?

    
pregunta rys 12.09.2016 - 15:45
fuente

2 respuestas

1

Me ha pasado lo mismo. Sí, este es un intento de infectar su sistema con malware. Es posible que se haya enviado por mensaje de texto, mensaje de Skype o sitio web infectado. Lo que debe hacer es ingresar a la caché de datos de la aplicación Chrome y borrar todos los datos de la aplicación Chrome. Esto resolvió el problema para mí. Supongo que este es un tipo de javascript que se almacena en caché en el almacenamiento de datos de Chrome.

    
respondido por el Fly 12.09.2016 - 16:34
fuente
0

¿Qué es esto?

Algo en algún lugar está inyectando cosas en tu tráfico HTTP. La URL en cuestión es una URL de datos , lo que significa que el navegador lee todo el contenido de la página desde la URL.

El contenido del tuyo es este HTML (espacio en blanco insertado por mí):

<!DOCTYPE html>
<html>
  <head>
    <meta name="viewport" content="width=device-width, user-scalable=false, initial-scale=1.0, maximum-scale=1.0">
  </head>
  <body>
    <div id="ifrm" style="padding:0; margin:0;">
      <iframe src="https://s3.amazonaws.com/www.aotq4jgqy9n71.info/US/wpewekk3303lkekkk11kk.html"style="top:0; left:0; width:100%; height:100%; position: absolute; border:0" scrolling="yes" allowFullScreen="yes">
      </iframe>
    </div>
  </body>
</html>

Eso es básicamente un iframe que cubre toda la página y muestra esta página:

https://s3.amazonaws.com/www.aotq4jgqy9n71.info/US/wpewekk3303lkekkk11kk.html

No sé para qué sirve ese sitio y no tengo ganas de visitarlo, pero generalmente es phishing, anuncios, más malware o algún tipo de estafa.

Básicamente, alguien está inyectando en su tráfico web para tratar de ganar dinero con usted.

¿Qué lo causó?

Puedo ver dos opciones aquí:

  1. Malware en su teléfono insertándolo.
  2. Alguien en la red (entre usted y las páginas web que visita) lo está insertando. En la práctica, si está en su red doméstica, esto significa su enrutador.

Entonces, ¿cómo señala cuál es?

  • Si esto sucede en muchas redes diferentes (por ejemplo, también cuando usa 4G, el Wi-Fi en la cafetería, etc.) probablemente sea su teléfono.
  • Si esto sucede en varios dispositivos (por ejemplo, también en su computadora portátil) es probable que sea su enrutador.
  • Si esto sucede incluso cuando visita sitios que usan HTTPS, probablemente sea su teléfono.

¿Cómo te deshaces de él?

Si es su teléfono, no hay nada más que hacer que " nuke from orbit ". Eso significa limpiar el teléfono y hacer un restablecimiento completo de fábrica.

Si se trata de su red, haría un restablecimiento de fábrica en el enrutador (por lo general hay un botón para eso en algún lugar). Y luego recuerde reconfigurar el enrutador con políticas de seguridad sólidas.

    
respondido por el Anders 13.09.2016 - 14:07
fuente

Lea otras preguntas en las etiquetas