08/03/2019

Pirate Matrioszka: trojan jak zagnieżdżona lalka w serwisie Pirate Bay

Zagrożenia

Walka z torrentami trwa od tak dawna, że żadne ostrzeżenie o związanych z nimi zagrożeniach nie jest brane na poważnie. A szkoda, bo w życiu nic nie jest tylko czarne albo tylko białe.

Poznajcie Andrzeja. Chciał on pobrać bardzo ważny plik w postaci torrenta. Nie wiedział jednak, że chcąc oszczędzić w ten sposób pieniądze, naraża się na infekcję oprogramowaniem, które będzie zarabiać dla kogoś innego. Na przykład ostatnio zidentyfikowaliśmy w serwisie The Pirate Bay schemat, w którym oszuści udostępniali kopie pirackiego oprogramowania, zastępując oryginalne pliki źródłowe własnymi szkodliwymi.

Jak działa Pirate Matryoshka, szkodliwy program do torrentów z serwisu Pirate Bay

Gdy Andrzej uruchomił zmieniony przez hakerów plik, instalator wyświetlił fałszywe okno uwierzytelniające dla serwisu Pirate Bay. Nasz bohater nie zorientował się, że jest fałszywe, i wprowadził swój login i hasło, które oczywiście wpadły wprost w ręce twórców szkodliwego oprogramowania. Od tej pory konto Andrzeja jest używane do rozprzestrzeniania nowych fałszywych zasobów. Z tego powodu nie można zidentyfikować oszustwa, uwzględniając samą datę rejestracji konta.

Fałszywe okno autoryzacji umożliwia spamerom uzyskiwanie dostępu do kont użytkowników, które są następnie używane do tworzenia kolejnych pułapek pod przykrywką pożądanych zasobów

Jednak oszuści nie zarabiają na przechwytywaniu kont. Ten zaszczyt należy do programów partnerskich, które płacą za każdą instalację określonego oprogramowania na urządzeniu ofiary. A zatem wraz z aplikacją Andrzej dostaje kilka dodatków. A w zasadzie mnóstwo dodatków.

Chociaż dodatkowe oprogramowanie nie zawsze jest szkodliwe — według naszych szacunków szkodliwe aplikacje stanowią jedną piątą — nie jest to żadnym pocieszeniem dla użytkownikom. Odtąd Andrzej musi walczyć z programami służącymi do optymalizacji, które zalewają jego ekran reklamami; paskami narzędzi w przeglądarkach, które zmieniają stronę startową i dodają swoje banery do każdej strony; a nawet trojanami.

Instalator programu partnerskiego zrobił swoje

Gdyby Andrzej uruchomił podobny plik pobrany z innego miejsca, miałby możliwość ominięcia instalacji dodatków, ponieważ twórcy instalatorów oprogramowania partnerskiego — mimo że działają w szarej strefie prawa — dają użytkownikowi możliwość rezygnacji. Niestety, trzeba się trochę namęczyć, aby znaleźć tę opcję:

Do poszukiwanej przez nas aplikacji dołączonych jest wiele dodatkowych programów. Pirate Matryoshka nie daje użytkownikowi wyboru

Jeśli chodzi o infekcję w serwisie Pirate Bay, którą nazwaliśmy Pirate Matryoshka, nie ma możliwości rezygnacji z dodatków — a to za sprawą pewnych funkcji tego oprogramowania. Przed uruchomieniem procesu instalacji szkodliwy program aktywuje moduły, które automatycznie zaznaczają pola wyboru, nie pozostawiając użytkownikowi możliwości decyzji.

Wniosek

Jeśli pobierasz jakieś torrenty, przygotuj się na spotkanie szkodliwego programu. Szczególnie dotyczy to pobierania oprogramowania, które domyślnie zawierają pliki wykonywalne.

Zakładanie, że los Andrzeja nigdy Cię nie spotka, bo nie korzystasz z torrentów i pirackiego oprogramowania, jest niestety naiwne. Instalatory firm partnerskich można znaleźć wszędzie, dlatego należy nie tylko unikać pobierania z internetu plików wykonywalnych, ale też korzystać z solidnego narzędzia zabezpieczającego przed wirusami. Na przykład Kaspersky Internet Security potrafi wykrywać i unieszkodliwiać każdy element wchodzący w skład zagrożenia Pirate Matryoshka i jemu podobnych.