На початку червня фахівці Threat Intelligence компанії Check Point виявили незвичайно могутній вірус, яким уже заражено близько 250 млн пристроїв. Комп’ютери стали схожими на зомбі: виконують указівки господаря й заробляють для нього гроші. «Лента.ру» розібралася, хто стоїть за поширенням вірусу й чим це небезпечно.
В усьому винні… китайці
Дослідникам удалося з’ясувати, що вірус поширюють не хакери, а велика рекламна компанія Rafotech, головний офіс якої розміщується в Пекіні. Рекламники вже заразили близько 250 млн комп’ютерів по всьому світу, тепер хваляться багатомільйонними встановленнями своїх додатків.
Вірус, який фахівці назвали Fireball («вогненна куля»), працює у двох напрямах: зловмисники (точніше рекламники) можуть запускати на заражених пристроях будь-який шкідливий код і завантажувати які завгодно файли, а також маніпулювати діями користувачів у браузері.
У разі необхідності шахраї встановлюють розширення та змінюють налаштування, щоб поліпшити власні показники рекламних кампаній. Проте куди небезпечніше те, що вони можуть не тільки заробляти на власниках пристроїв, котрі ні про що не підозрюють, а й з легкістю встановити будь-яке програмне забезпечення.
Правда, поки китайці використовують свого «шкідника» в основному для того, щоб установлювати підроблену пошукову систему й генерувати фейкові запити. Користувач навіть не здогадується про те, що, послуговуючись Google або Yahoo, потрапляє на підставний сайт і віддає всю важливу інформацію шахраям.
Найдивовижніше, що, попри можливість украсти будь-які дані, застосовувана китайськими рекламниками технологія з невеликим перебором, але все-таки вважається легальною. Проблема в тому, що Fireball установлюється разом зі стандартними програмами.
Для цього клієнтові досить погодитися на встановлення «додаткового ПЗ», аби програми, які фактично мають усі властивості вірусу, проникли в комп’ютер. Експерти засмучуються: китайці успішно використовують ці «сірі зони» в законодавстві більшості країн. Адже, якщо користувач дає свій дозвіл на встановлення додаткового софту, подальші дії складно визнати незаконними.
Як це працює
Зі звіту випливає, що сумнівні продукти компанії Rafotech проникають у пристрої при встановленні таких програм, як Deal Wi-Fi, браузер Mustang, інструментів Soso Desktop і FVP Imageviewer. Ці продукти встановлюються на комп’ютер або разом з іншим софтвером, або самостійно, їх активно рекламують в Інтернеті. Уважні користувачі легко дізнаються про їх погану репутацію: будь-який пошуковик видає більше посилань на способи видалення шкідливих програм, ніж на їх завантаження.
Після встановлення, яке найчастіше невидиме для користувачів, «шкідник» дістає доступ до браузера. Він може повністю керувати діями користувачів, перенаправляючи їх на шахрайські сайти, стежачи за пересуваннями курсора та в разі необхідності впроваджуючи нові інструменти для стеження й зараження.
Найчастіше люди не можуть самостійно видалити шкідливі програми, зате це з успіхом роблять китайські рекламники. Вони можуть контролювати, що саме працює на зомбі-комп’ютері, і навіть повністю ліквідувати сліди вторгнення, залишивши «чорний хід» на випадок повторного встановлення.
Загроза світового масштабу
За оцінками Check Point, зараження зазнали комп’ютери в багатьох країнах світу. Найвразливішими виявилися користувачі з Індії (25,3 млн інфікованих комп’ютерів), Бразилії (24,1 млн) і Мексики (16,1 млн). У США «шкідник» потрапив на 5,5 млн пристроїв. Судячи зі складеної фахівцями карти зараження, комп’ютери багатьох користувачів у Росії (та Україні. — Прим. ред.) теж експлуатують китайці.
Під загрозою опинились і пристрої корпоративних мереж великих компаній: 20% організацій по всьому світу вже підхопили Fireball. А це означає, що під загрозою не тільки особисті, а й корпоративні секрети, які можуть викрасти й перепродати будь-кому та коли завгодно.
Фейкові пошукові системи, які творці Fireball зареєстрували для перегону трафіку на потрібні сайти, страшенно популярні. Згідно з одним з найавторитетніших рейтингів Alexa, 14 інструментів китайської Rafotech уходять до перших 10 тис. найпопулярніших сайтів на планеті, а деякі з них навіть потрапляють у першу тисячу.
Саме рекламне агентство не поспішає розповідати клієнтам про «нестандартні» способи просування продуктів, зате гордо обіцяє клієнтам понад 6 млрд переглядів і заявляє, що в його розпорядженні 300 млн користувачів — тобто трохи більше, ніж кількість інфікованих пристроїв.
Рекламники — таки рекламники
Пронозливе китайське агентство, що використовує наївних користувачів, — на жаль, далеко не єдиний гравець на цьому сегменті ринку. Не так давно фахівці в галузі безпеки виявили цілу імперію «королів сміттєвого трафіку». Вони орудували на популярних сайтах і змушували користувачів кликати на «найпривабливіші» посилання: порно, піратські фільми й нібито безкоштовні програми.
Поки людина, котра нічого не підозрювала, насолоджувалася свіжою серією серіалу або вивчала статті із шокуючими подробицями про життя зірок, творилося щось неймовірне: нові вкладки рябіли рекламними сайтами, переходи обчислювалися десятками порталів.
Згідно з тим же авторитетним рейтингом Alexa, подібні сміттєві сайти-одноднівки іноді з’являлися в сотні найпопулярніших ресурсів у світі. На щастя, для подібної накрутки шахраї не змушували користувачів викачувати шкідливі файли, але саме на таких ресурсах зазвичай і існують ті самі підставні «безкоштовні» програми.
Як і в багатьох випадках, експерти радять елементарне: не кликати на все підряд і гарненько думати, перш ніж завантажувати на свій комп’ютер файли із сумнівних сайтів.