Захожу я сегодня на highscreen.org с телефона (на самом деле не сам захожу, просто оно по умолчанию домашней страницей стоит, а поменять было лень) и вижу вот это:
http://i.imgur.com/MIL1f1lh.png
Ну ладно, давай нажмем, посмотрим, что получится. А получается APK с названием Mobile_Version.apk:
http://i.imgur.com/Ogf5Bzth.png
Красивый пакетик скачался, на вирустотале весь красненький:
http://i.imgur.com/zc3ieqZ.png
Ну, думаю, обосрался хайскрин с каким-нибудь джаваскриптовым счетчиком, рекламой или партнеркой, в которую впихнули код, редиректящий мобильных юзерагентов. Ставлю User Agent Switcher в Firefox на ПК, выбираю андроедобраузер и начинаю исследовать. Удивляюсь тому что не получается остановить скрипты до редиректа. Закрадывается страшное подозрение. Ставлю NoRedirect, пробую снова. НАБЛЮДАЮ HTTP-REDIRECT.
Копирую из отладчика опции к курлу, запускаю из консоли и вижу то же самое:
http://pastebin.com/59ath5QW
Приплыли. На серверах самого хайскрина есть код, который редиректит мобильных пользователей на сайт с трояном. Их не просто через партнерку поимели, их поимели прямо в сервер.
Продолжаю убеждаться, что всё, что хайскрины делают сами, а не отдают на аутсорс китайцам, выходит из рук вон плохо.
P.S. Сам APK для любителей поисследовать:
http://rghost.net/59359364
(получен curl -v '
http://load-app.org/Mobile_Version.apk' -H 'Host: load-app.org' -H 'User-Agent: Mozilla/5.0 (Linux; U; Android 4.0.3; de-ch; HTC Sensation Build/IML74K) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30' -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8' -H 'Accept-Language: en-US,en;q=0.5' --compressed -H 'Connection: keep-alive' -o Mobile_Version.apk )