Согласно данным исследования, около 5 000 вредоносных мобильных приложений для различных платформ (Android, Windows Mobile и iOS) показывают и перезагружают рекламу без ведома пользователя, даже в том случае, если он данным приложением не пользуется. Мошенники все чаще, используя вредоносный код, перенаправляют пользователей на рекламные объявления. Данную мошенническую схему эксперты окрестили как «Перехват рекламы» (Advertising hijacking). Исследователи проблем информационной безопасности из Нью-Йорка Майк Эндрюс (Mike Andrews), Энтони Коле (Antoni Kolev), Дэвид Сендрофф (David Sendroff) и Мэтт Велла (Matt Vella) выяснили, что вредоносное мобильное приложение генерирует 20 рекламных объявлений в минуту (700 за час), в то время как официальное приложение генерирует одно объявление в минуту.
Создание большого количества рекламных объявлений отрицательно сказывается на работе 15% мобильных приложений на рынке и на качество трафика в целом. Вредоносы тратят петабайт данных ежедневно, и по подсчетам экспертов, наносят ущерб размером в $ 1 млрд в год.Официальные рекламодатели теряют крупные суммы денег из-за мошеннических кампаний. Для рекламной индустрии в iOS убытки составляют $363 млн, Android теряет $480 млн, а Windows Mobile – $14 млн. Также исследование экспертов показало, что антивирусные программы не могут обнаружить данные вредоносные махинации, отмечает SecurityLab.
По данным компании «Доктор Веб», количество известных вирусным аналитикам вредоносных программ, предназначенных для демонстрации назойливой рекламы в Интернете, увеличивается день ото дня. В июле 2015 года специалисты компании обнаружили несколько троянцев. Один из них – Trojan.Ormes.186 – встраивает рекламу в просматриваемые жертвой веб-страницы с использованием технологии веб-инжектов. Вредоносная программа − расширение для браузера Mozilla Firefox, оно состоит из трех файлов, написанных на JavaScript. Один из файлов зашифрован и предназначен для демонстрации различного рода рекламы, а два других встраивают его в открываемые в окне браузера веб-страницы непосредственно на компьютере жертвы: подобная технология называется веб-инжектом, разъясняют специалисты «Доктор Веб».
Основной код троянца расположен в зашифрованном файле и именно он реализует основные функции вредоноса по встраиванию постороннего содержимого в веб-страницы. В теле программы содержится список, состоящий из порядка 200 адресов интернет-ресурсов, при обращении к которым вирус выполняет веб-инжекты. Среди них − различные сайты для поиска и размещения вакансий, а также адреса поисковых систем и соцсетей.
В коде троянца предусмотрена функция, предположительно реализующая возможность автоматической эмуляции щелчка мышью на разнообразных элементах веб-страниц с целью подтверждения подписок для абонентов мобильных операторов «Мегафон» и «Билайн». Кроме того, при открытии в окне браузера сайтов «Яндекс», Youtube, а также социальных сетей «ВКонтакте», «Одноклассники» и Facebook троянец загружает с удаленного сайта и выполняет соответствующий сценарий, который перенаправляет жертву на сайты разных файлообменных систем, использующих платные подписки. В процессе работы вредонос или встраивает в страницы с отображаемыми в результате обработки запроса ссылками рекламные баннеры, или внедряет скрытые элементы, которые популяризируют в соцсетях ссылки на сайты из специального списка. Среди других возможностей трояна − автоматический вход на сайты онлайн-казино и самостоятельная установка некоторых приложений.
Специалисты компании «Доктор Веб» отмечают, что признаками активности троянца являются заметное замедление работы браузера Firefox и появление на веб-страницах подозрительной рекламы. Пользователям рекомендуется сканирование устройства штатными антивирусами, а также проверить список установленных расширений браузера и удалить плагин с именем NetFilterPro и описанием «Additional security for safe browsing experience».
В случае, если вы заметили несанкционированное списание средств со счета мобильного интернета, а платные подписки вы не оформляли, рекомендуется позвонить в службу поддержки мобильного оператора. Как правило, прекращение платных подписок и возврат средств на счет клиента осуществляется в течение нескольких минут. Также рекомендуется узнать комбинации USSD-команд и подключить опции, блокирующие несанкционированное подключение платных подписок, если такая возможность не предусмотрена в «личном кабинете» пользователя мобильного интернета.
