Эпидемия зомби

В начале июня специалисты Threat Intelligence компании Check Point обнаружили необычный мощный вирус, обитающий уже на 250 миллионах устройств. Зараженные компьютеры походят на зомби: выполняют указания китайского хозяина и невольно зарабатывают для него деньги. «Лента.ру» разобралась, кто стоит за распространением вируса и чем это опасно.

Исследователям удалось выяснить, что вирус распространяют не хакеры, а крупная рекламная компания Rafotech, головной офис которой находится в Пекине. Рекламщики уже заразили 250 миллионов компьютеров по всему миру, а теперь зарабатывают репутацию — хвастаются многомиллионными установками своих приложений.

Вирус, который специалисты назвали Fireball («огненный шар»), работает по двум направлениям: злоумышленники (точнее, рекламщики) могут запускать на зараженных устройствах любой вредоносный код и загружать какие угодно файлы, а также манипулировать действиями пользователей в браузере.

При необходимости мошенники устанавливают расширения и меняют настройки, чтобы улучшить собственные показатели по рекламным кампаниям. Но куда опаснее то, что они могут не только зарабатывать на ни о чем не подозревающих владельцах устройств, но и с легкостью установить им любое вредоносное ПО, которое впоследствии может украсть и данные банковской карты, и пароль рабочей почты.

Правда, пока китайцы используют свой «вредонос» в основном для того, чтобы устанавливать в браузерах жертв поддельную поисковую систему и генерировать фейковые поисковые запросы. Пользователь даже не догадывается о том, что, используя Google или Yahoo, находится на подставном сайте и отдает всю важную информацию мошенникам.

Самое удивительное, что несмотря на возможность украсть любые данные, применяемая китайскими рекламщиками технология с небольшой натяжкой, но все же считается легальной. Проблема в том, что Fireball устанавливается вместе с вполне легитимными программами.

Особенно этим грешат бесплатные сервисы: люди вроде бы пользуются ими бесплатно, а те, в свою очередь, зарабатывают на продаже данных своих клиентов. Это может быть как безликая статистика, так и вполне конкретная личная информация, в том числе номер и CVV-код пластиковой карты.

Для этого клиенту достаточно согласиться на установку «дополнительного ПО», чтобы полулегальные программы, фактически обладающие всеми возможностями вируса, проникли в компьютер. Эксперты сокрушаются: китайцы успешно используют эти «серые зоны» в законодательстве большинства стран. Ведь если юзер дает свое разрешение на установку дополнительного софта, дальнейшие действия сложно признать незаконными.

Из отчета следует, что сомнительные продукты компании Rafotech проникают в устройства при установке следующих программ: Deal Wi-Fi (бесплатная программа для создания точки доступа), браузер Mustang, инструменты Soso Desktop и FVP Imageviewer.

Эти продукты устанавливаются на компьютер либо вместе с другим софтом, либо самостоятельно, благо их активно рекламируют в интернете. Внимательные пользователи легко узнают об их дурной репутации: любой поисковик выдает больше ссылок на способы удаления вредоносных программ, чем на их загрузку.

Помимо «установки за компанию» Rafotech не брезгует и такими методами, как маскировка под популярные приложения или даже плата пользователям за загрузку.

После установки, которая чаще всего происходит на фоне и невидима для пользователей, «вредонос» получает доступ к браузеру. Он может полностью управлять действиями юзеров, перенаправляя их на мошеннические сайты, следя за передвижениями курсора и при необходимости внедряя новые инструменты для слежки и заражения.

Чаще всего пользователи не могут самостоятельно удалить вредоносные программы, зато это с успехом делают китайские рекламщики. Они могут контролировать, что именно работает на зомби-компьютере, и даже полностью ликвидировать следы вторжения, попутно оставив бэкдор на случай повторной установки.

По оценкам Check Point, заражению подверглись компьютеры во многих странах мира. Наиболее уязвимыми оказались пользователи из Индии (25,3 миллиона инфицированных компьютеров), Бразилии (24,1 миллиона) и Мексики (16,1 миллиона). В США «вредонос» установлен на 5,5 миллиона устройств. Судя по составленной специалистами карте заражения, компьютеры многих пользователей из России тоже эксплуатируются китайцами.

Но эксперты бьют тревогу не только из-за того, что личные компьютеры миллионов людей по всему миру могут в один момент оказаться под управлением группы китайских рекламщиков. Под угрозой оказались и устройства корпоративных сетей крупных компаний: 20 процентов организаций по всему миру уже «подхватили» Fireball. А это значит, что под угрозой не только личные, но и корпоративные секреты, которые могут выкрасть и перепродать кому угодно и когда угодно.

В серьезной опасности находятся компании из США (10 процентов заражений) и Китая (почти пять процентов), но больше всего «вредонос» угрожает бизнесу в Индонезии (60 процентов заражений) Индии (43 процента) и Бразилии (38 процентов).

Фейковые поисковые системы, которые создатели Fireball зарегистрировали для перегона трафика на нужные сайты, пугающе популярны. Согласно одному из самых авторитетных рейтингов Alexa, 14 инструментов китайской Rafotech входят в первые 10 тысяч самых популярных сайтов на планете, а некоторые из них даже попадают в первую тысячу.

Само рекламное агентство не спешит рассказывать клиентам о «нестандартных» способах продвижения продуктов, зато гордо обещает клиентам более шести миллиардов просмотров и заявляет, что в его распоряжении 300 миллионов пользователей — то есть чуть больше, чем число инфицированных ими устройств.

Пронырливое китайское агентство, использующее наивных пользователей, — к сожалению, далеко не единственный игрок в этом сегменте рынка. Не так давно специалисты в области безопасности обнаружили целую империю «королей мусорного трафика». Они орудовали на популярных сайтах и заставляли юзера кликать по самым «привлекательным» ссылкам: порно, пиратские фильмы и якобы бесплатные программы.

Пока ничего не подозревающий пользователь наслаждался свежей серией сериала или изучал статьи с шокирующими подробностями из жизни звезд, на фоне творилось нечто невообразимое: новые вкладки пестрели рекламными сайтами, переходы исчислялись десятками порталов.

Согласно тому же авторитетному рейтингу Alexa, подобные мусорные сайты-однодневки иногда появлялись в сотне самых популярных ресурсов в мире.

К счастью, для подобной накрутки мошенники не заставляли пользователей скачивать вредоносные файлы, но именно на таких ресурсах обычно и существуют те самые подставные «бесплатные» программы. Они обещают те функции, которые проверенные разработчики обычно публикуют на платной основе, и в итоге открывают доступ мошенникам, которые точно знают, как использовать чужие данные.

Как и во многих случаях, эксперты советуют элементарное: не кликать на все подряд и хорошенько думать, прежде чем загружать файлы с сомнительных сайтов на свой компьютер.

Анастасия Евтушенко