Игра в имитацию
chorshanba, 18-mart, 2020
Вредоносные программы – это не только шифровальщики, банковские трояны и майнеры с жестко прописанным функционалом (запустил, выполнил код, получил результат). Иногда злоумышленникам нужно при помощи ПО изобразить (эмулировать) поведение живого пользователя.
Эмуляция действий пользователя – выполнение некоей программой действий, аналогичных действиям обычного («живого») пользователя.
Это делается для того, чтобы стороннему наблюдателю или программе казалось, что они имеют дело с человеком, а не с обманкой.
Зачем это нужно? Например, для выполнения банковских операций через систему банк-клиент, накрутки рекламы, атак на интернет-магазины.
Ботнеты AuthBot имитируют движения мыши, производят случайные нажатия клавиш и навигацию по страницам, похожие на поведение живых пользователей.
[Вредоносные программы предназначены для атак, производимых уже после авторизации. К этим типам атак относятся парсинг с целью сбора данных для последующего анализа (web scraping), а также злоупотребление и нарушение работы сервисов онлайн-магазинов (checkout abuse и denial of inventory).
Вот некто хочет, например, продвинуть какой-то сайт в выдаче поисковых систем. Для этого требуется активность пользователей на нем. И желательно, чтобы это был не просто перебор страниц, а реальный интерес к содержимому.
Среди факторов ранжирования сайта в крупных поисковых системах есть поведенческие факторы. Допустим, сайт Y стоит на седьмом месте в поисковой выдаче по запросу X. Если пользователи в достаточном количестве будут кликать сразу на седьмую позицию и задерживаться на сайте хотя бы на пару минут, то вскоре поисковик решит, что сайт Y наиболее релевантен для этого запроса.
Вот ADRD и имитирует заинтересованного пользователя, который вводит поисковый запрос, кликает на n-ю позицию вместо первой и старательно шарится по сайту (повышая показатель внутренних поведенческих факторов).
Поисковики, в свою очередь, активно борются с этим:
Для продвижения вашего сайта были использованы сервисы или программы для имитации действий пользователей.
Существует целый тип подобных вредоносных программ – кликеры.
8 августа 2019 года «Доктор Веб» сообщил, что троянца-кликера из каталога Google Play установили почти 102 000 000 пользователей Android.
Троянцы-кликеры — распространенные вредоносные программы для накрутки посещений веб-сайтов и монетизации онлайн-трафика. Они имитируют действия пользователей на веб-страницах, нажимая на расположенные на них ссылки и другие интерактивные элементы.
Троянец представляет собой вредоносный модуль, который по классификации Dr.Web получил имя Android.Click.312.origin. Он встроен в обычные приложения — словари, онлайн-карты, аудиоплееры, сканеры штрих-кодов и другое ПО. Все эти программы работоспособны, и для владельцев Android-устройств выглядят безобидными. Кроме того, при их запуске Android.Click.312.origin начинает вредоносную деятельность лишь через 8 часов, чтобы не вызвать подозрений у пользователей.
Установка ПО:
Троян имитирует пользовательские действия чтобы зарабатывать деньги на установке мошеннических приложений с рекламой и других вредоносных программ.
Кстати, это весьма популярный вид заработка. Мы подобные программы описывали:
Аналитики компании «Доктор Веб» обнаружили троянскую программу для мобильных устройств, которая внедряется в активный процесс программы Play Маркет и незаметно накручивает счетчик установок в каталоге Google Play.
Крадет уникальный идентификатор мобильного устройства и учетной записи его владельца, которые используются при работе с сервисами компании Google, различные внутренние коды авторизации для подключения к каталогу Google Play и другие конфиденциальные данные.
Android.Skyfin.1.origin подключается к каталогу Google Play и имитирует работу приложения Play Маркет.
Интересно, что имитируют действия не только пользователей, но и антивирусов. Написать, грубо говоря, пять строк кода, а затем продавать «шустрый антивирус» через Google Play – мечта же!
Полноценных антивирусных программ стало настолько много, что сложно запомнить их все.
А значит, если добавить еще одну, никто и не заметит подвоха.
В 2010 году Google пришёл к заключению, что половина вредоносного ПО, проникающего через рекламу, — лжеантивирусы.
Насчет половины они, пожалуй, погорячились, но такие программы (настоящие антивирусы считают их вредоносными) действительно существуют.
#мошенничество #поддельный_банк #психология #терминология #уязвимость
Антивирусная правДА! рекомендует
Имитация действий человека используется и в борьбе со злоумышленниками. Создаем некий сервер или даже имитируем сеть компании – и ждем атак злоумышленников. Можно на каком-нибудь форуме сообщить об уязвимости в этой сети. А чтобы все выглядело правдоподобно – имитируем работу пользователей: открываем и закрываем документы, запускаем программы и т. д.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
GREEN
08:31:22 2020-08-25
С одной стороны, имитация в случае с вирусами - вред, с другой стороны, она может быть полезна ...
Не следует впадать в крайности.
«Кто на этой земле знает, что есть добро и зло»
Sashka
12:05:25 2020-03-23
Вот только одни следят для злого умысла а другие для защиты от злого умысла(может быть)
VVK74
12:29:32 2020-03-20
DrKV
22:15:41 2020-03-18
Dvakota
22:11:38 2020-03-18
Геральт
21:53:41 2020-03-18
Любитель пляжного футбола
20:48:36 2020-03-18
anatol
20:43:23 2020-03-18
L1t1um
20:18:30 2020-03-18
Шалтай Александр Болтай
20:08:26 2020-03-18
orw_mikle
19:40:05 2020-03-18
Альфа
19:33:11 2020-03-18
Пaвeл
19:07:43 2020-03-18
Пaвeл
19:06:22 2020-03-18
Неуёмный Обыватель
18:40:11 2020-03-18
vkor
17:34:49 2020-03-18
Toma
17:13:20 2020-03-18
DrKV
16:52:07 2020-03-18
admin_29
15:57:26 2020-03-18
I46
15:42:38 2020-03-18
Slava90
15:27:50 2020-03-18
но я лично выбрал Drweb и доверяю данному продукту.
marisha-san
14:00:56 2020-03-18
Денисенко Павел Андреевич
13:37:35 2020-03-18
sgolden
13:08:11 2020-03-18
blade79
13:06:11 2020-03-18
Korney
12:58:03 2020-03-18
Masha
12:40:41 2020-03-18
Alexander
11:44:55 2020-03-18
Быть или казаться, жить или лицедействовать... Актёры на сцене и в жизни... Вся жизнь - театр и игра... Везде и всегда игроки...
А если на этом можно заработать, то, наверное, кто-то этим воспользуется. Вопросы нравственности и морали отодвигаются на задний план сцены или, вообще, не принимаются во внимание, если они мешают звону монет, текущих в свой карман...
И прекрасно, что Dr.Web Security Space умеет выявлять такие цифровые имитации и пресекать. Спасибо.
vinnetou
11:24:35 2020-03-18
I23
11:06:58 2020-03-18
Dmur
10:48:02 2020-03-18
gebrakk
10:04:25 2020-03-18
Вячeслaв
10:01:52 2020-03-18
tigra
08:31:44 2020-03-18
Татьяна
08:30:46 2020-03-18
Vlad X
07:57:11 2020-03-18
DoctorW
07:53:31 2020-03-18
ka_s
07:17:30 2020-03-18
ZesMen
06:59:33 2020-03-18
Sergey
06:44:42 2020-03-18
achemolganskiy
06:32:06 2020-03-18
Пaвeл
06:31:05 2020-03-18
cruise
05:39:13 2020-03-18
SGES
05:38:07 2020-03-18
Любитель пляжного футбола
05:34:48 2020-03-18
@admin, дважды подряд повторяется предложение "Аналитики компании «Доктор Веб» обнаружили троянскую программу для мобильных устройств, которая внедряется в активный процесс программы Play Маркет и незаметно накручивает счетчик установок в каталоге Google Play ".
EvgenyZ
05:27:38 2020-03-18
Саня
05:17:32 2020-03-18
Morpheus
04:50:51 2020-03-18
Sasha50
03:25:36 2020-03-18