Hace un mes más o menos quería ver un partido de fútbol de la liga española (desde Holanda) y recurrí a la primera página de streaming que encontré,
futbolenvivoaldia.com. Al final, esta página no era más que una redirección a la conocida página
Tarjeta Roja. Bueno, la historia es que visitando la página con el teléfono móvil, aparecía el típico escaner antivirus y se intentaba descargar una aplicación con nombre
“androidav_free.APK” (
24f0a666a714e26c6c07ab407e37b112).
El origen de esta pantalla era una de las redes de anuncios de tarjetaroja.eu, Mobicow, que después de varias redirecciones y URLs de tracking acababa devolviendo la siguiente URL:
hxxp://cleanupnowonline10.biz/?u=Y0vbAf0fW9lIhVAxPi2nZQo
Esta URL a su vez cargaba código Javascript desde:
hxxp://cleanupnowonline10.biz/js/wapc.js
El código estaba ofuscado, siendo éste el contenido final del archivo:
