Получив несанкционированный доступ к интернет-ресурсам, злоумышленники модифицируют работающие на сервере сценарии, в результате чего при открытии веб-страницы выполняется проверка user-agent пользователя. Если посетитель заходит на такой сайт со своего смартфона или планшета (т.е. его браузер работает на мобильной платформе), он перенаправляется на специально созданный интернет-ресурс. Как удалось выяснить «Доктор Веб», большинство таких сайтов распространяют вредоносное программное обеспечение, в частности, Android.SmsSend.690.origin и Android.SmsSend.122.origin.

Троянские программы семейства Android.SmsSend представляют собой приложения, в процессе установки требующие отправить платное SMS-сообщение или ввести в соответствующую форму код, полученный во входящем сообщении, тем самым подписавшись на услугу, за предоставление которой со счета мобильного оператора периодически списывается некоторая сумма без ведома пользователя.

Аналитики «Доктор Веб» предполагают, что несанкционированный доступ к сайтам может осуществляться в результате кражи логина и пароля у администраторов сайтов (возможно, с применением троянских программ). В частности, пароли от FTP-клиентов могут быть украдены при помощи большого числа различных вредоносных приложений.

Кроме того, специалистами компании было обнаружено порядка 250 инфицированных сайтов в украинском национальном домене .UA, среди которых имелись, в том числе, ресурсы правительственных организаций. Распространение вредоносного ПО осуществляется при поддержке партнерской программы Wapostap, ранее уже неоднократно замеченной в подобных инцидентах.

Администраторам и веб-дизайнерам, занимающимся разработкой, поддержкой и обновлением сайтов, в «Доктор Веб» настоятельно рекомендуют проверить загруженные на сервер сценарии (в частности, файл .htaccess) и в случае необходимости поменять логин и пароль для административного доступа к интернет-ресурсу.

CNews