Почти легальный вирус

Китайцы научились превращать компьютеры в послушные машины для зарабатывания денег

В начале июня специалисты Threat Intelligence компании Check Point обнаружили необычный мощный вирус, обитающий уже на 250 млн устройств. Зараженные компьютеры походят на зомби: выполняют указания хозяина и невольно зарабатывают для него деньги. «Лента.ру» разобралась, кто стоит за распространением вируса и чем это опасно.

Во всем виноваты… китайцы

Исследователям удалось выяснить, что вирус распространяют не хакеры, а крупная рекламная компания Rafotech, головной офис которой находится в Пекине. Рекламщики уже заразили 250 млн компьютеров по всему миру, а теперь зарабатывают репутацию — хвастаются многомиллионными установками своих приложений.

Вирус, который специалисты назвали Fireball («огненный шар»), работает по двум направлениям: злоумышленники (точнее, рекламщики) могут запускать на зараженных устройствах любой вредоносный код и загружать какие угодно файлы, а также манипулировать действиями пользователей в браузере.

При необходимости мошенники устанавливают расширения и меняют настройки, чтобы улучшить собственные показатели по рекламным кампаниям. Но куда опаснее то, что они могут не только зарабатывать на ни о чем не подозревающих владельцах устройств, но и с легкостью установить любое ПО.

Правда, пока китайцы используют свой «вредонос» в основном для того, чтобы устанавливать поддельную поисковую систему и генерировать фейковые запросы. Пользователь даже не догадывается о том, что, используя Google или Yahoo, находится на подставном сайте и отдает всю важную информацию мошенникам.

Самое удивительное, что несмотря на возможность украсть любые данные, применяемая китайскими рекламщиками технология с небольшой натяжкой, но все же считается легальной. Проблема в том, что Fireball устанавливается вместе с вполне легитимными программами.

Особенно этим грешат бесплатные сервисы: люди вроде бы пользуются ими бесплатно, а те, в свою очередь, зарабатывают на продаже данных своих клиентов. Это может быть как безликая статистика, так и вполне конкретная личная информация.

Для этого клиенту достаточно согласиться на установку «дополнительного ПО», чтобы полулегальные программы, фактически обладающие всеми возможностями вируса, проникли в компьютер. Эксперты сокрушаются: китайцы успешно используют эти «серые зоны» в законодательстве большинства стран. Ведь если юзер дает свое разрешение на установку дополнительного софта, дальнейшие действия сложно признать незаконными.

Как это работает

Из отчета следует, что сомнительные продукты компании Rafotech проникают в устройства при установке таких программ как Deal Wi-Fi, браузер Mustang, инструменты Soso Desktop и FVP Imageviewer. Эти продукты устанавливаются на компьютер либо вместе с другим софтом, либо самостоятельно, благо их активно рекламируют в интернете. Внимательные пользователи легко узнают об их дурной репутации: любой поисковик выдает больше ссылок на способы удаления вредоносных программ, чем на их загрузку.

Помимо «установки за компанию» Rafotech не брезгует и такими методами, как маскировка под популярные приложения или даже плата пользователям за загрузку.

После установки, которая чаще всего происходит на фоне и невидима для пользователей, «вредонос» получает доступ к браузеру. Он может полностью управлять действиями юзеров, перенаправляя их на мошеннические сайты, следя за передвижениями курсора и при необходимости внедряя новые инструменты для слежки и заражения.

Чаще всего пользователи не могут самостоятельно удалить вредоносные программы, зато это с успехом делают китайские рекламщики. Они могут контролировать, что именно работает на зомби-компьютере, и даже полностью ликвидировать следы вторжения, попутно оставив «черный ход» на случай повторной установки.

Угроза мирового масштаба

По оценкам Check Point, заражению подверглись компьютеры во многих странах мира. Наиболее уязвимыми оказались пользователи из Индии (25,3 млн инфицированных компьютеров), Бразилии (24,1 млн) и Мексики (16,1 млн). В США «вредонос» установлен на 5,5 млн устройств. Судя по составленной специалистами карте заражения, компьютеры многих пользователей из России (и Украины. — Прим. ред.) тоже эксплуатируются китайцами.

Под угрозой оказались и устройства корпоративных сетей крупных компаний: 20% организаций по всему миру уже «подхватили» Fireball. А это значит, что под угрозой не только личные, но и корпоративные секреты, которые могут выкрасть и перепродать кому угодно и когда угодно.

Фейковые поисковые системы, которые создатели Fireball зарегистрировали для перегона трафика на нужные сайты, пугающе популярны. Согласно одному из самых авторитетных рейтингов Alexa, 14 инструментов китайской Rafotech входят в первые 10 тыс. самых популярных сайтов на планете, а некоторые из них даже попадают в первую тысячу.

Само рекламное агентство не спешит рассказывать клиентам о «нестандартных» способах продвижения продуктов, зато гордо обещает клиентам более 6 млрд просмотров и заявляет, что в его распоряжении 300 млн пользователей — то есть чуть больше, чем число инфицированных ими устройств.

Рекламщики такие рекламщики

Пронырливое китайское агентство, использующее наивных пользователей, — к сожалению, далеко не единственный игрок в этом сегменте рынка. Не так давно специалисты в области безопасности обнаружили целую империю «королей мусорного трафика». Они орудовали на популярных сайтах и заставляли юзера кликать по самым «привлекательным» ссылкам: порно, пиратские фильмы и якобы бесплатные программы.

Пока ничего не подозревающий пользователь наслаждался свежей серией сериала или изучал статьи с шокирующими подробностями из жизни звезд, на фоне творилось нечто невообразимое: новые вкладки пестрели рекламными сайтами, переходы исчислялись десятками порталов.

Согласно тому же авторитетному рейтингу Alexa, подобные мусорные сайты-однодневки иногда появлялись в сотне самых популярных ресурсов в мире. К счастью, для подобной накрутки мошенники не заставляли пользователей скачивать вредоносные файлы, но именно на таких ресурсах обычно и существуют те самые подставные «бесплатные» программы.

Как и во многих случаях, эксперты советуют элементарное: не кликать на все подряд и хорошенько думать, прежде чем загружать файлы с сомнительных сайтов на свой компьютер.