Nieuw onderzoek: Focussen op misleidende software-installaties
Als onderdeel van de voortdurende inspanningen van Google om gebruikers te beschermen tegen ongewenste software, richten zij zich nu op op de bedrieglijke installatie tactieken en aanbieders die een rol spelen bij ongewenste software leveringen. Deze software bevat ongewenste advertentie injectors dat onbedoelde advertenties invoegt in webpagina's en browser hijackers die bijvoorbeeld die zoekinstellingen wijzigen zonder toestemming van de gebruiker.
Elke week genereert Google Safe Browsing meer dan 60 miljoen waarschuwingen om gebruikers te helpen voorkomen dat er ongewenste software geïnstalleerd wordt- dat is 3 keer meer dan het aantal waarschuwingen voor malware. Veel van deze waarschuwingen verschijnen wanneer gebruikers onbewust software bundels downloaden met een aantal extra toepassingen, een bedrijfsmodel bekend als pay-per-install die tot $ 1,50 oplevert voor elke succesvolle installatie. Onlangs is hete eerste diepgaand onderzoek met de Universiteit van New York afgerond naar meerdere pay-per-install-netwerken en de ongewenste software pakketten bij deze installaties. Het volledige rapport, dat u hier kunt lezen, wordt volgende week gepresenteerd tijdens het USENIX Beveiliging Symposium.
In een jaar tijd werden vier van de grootste pay-per-install netwerken die routinematig verdeeld ongewenste ad injectoren, browser hijackers en scareware geïdentificeerd door meer dan 30 antivirus-engines. Deze bundels werden bedrieglijk aanbevolen door middel van valse software-updates, misleidende pakketten en vervalste merken - deze technieken worden openlijk besproken op ondergrondse forums als manieren om gebruikers te verleiden tot het ongewild downloaden van software en het accepteren van de installatie voorwaarden. Hoewel niet alle software pakketten leiden tot ongewenste software,hoeft er maar één misleidende partij in een keten van webadvertenties, pay-per-install netwerken en applicatie-ontwikkelaars te zitten om zich te manifesteren.
Softwarebundel installatie dialoog. Het accepteren van de Snelle installatie optie zal ertoe leiden dat tot acht andere programma's worden geïnstalleerd zonder vermelding van de functionaliteit van deze programma's.
Wanneer je ooit een installatie dialoogvenster zoals hierboven hebben gezien, dan bent je al bekend met het pay-per-install distributiemodel. Achter de schermen zijn er een paar verschillende spelers:
In combinatie met misleidende promotie-tools zoals valse video codecs, software-updates, of valse merken, is er een veelheid van misleidende middelen beschikbaar om software te bundelen.
Bovendien is Google aan het pushen voor echte verandering bij bedrijven die betrokken zijn in de markt van pay-per-installaties om de misleidende praktijken van een aantal deelnemers aan te pakken. Als onderdeel hiervan, Google onlangs Schone Software Summit georganiseerd wwarbij leden van de anti-virus industrie samen gebracht werden met bundelende platforms, en de Clean Software Alliance. Samen, legden ze de basis voor een industrie-brede initiatief om gebruikers te voorzien van duidelijke keuzes bij het installeren van software en om misleidende acteurs en ongewenste installaties te blokkeren. Google blijft pleiten in naam van de gebruikers om ervoor te zorgen dat ze veilig software kunnen downloaden.
Elke week genereert Google Safe Browsing meer dan 60 miljoen waarschuwingen om gebruikers te helpen voorkomen dat er ongewenste software geïnstalleerd wordt- dat is 3 keer meer dan het aantal waarschuwingen voor malware. Veel van deze waarschuwingen verschijnen wanneer gebruikers onbewust software bundels downloaden met een aantal extra toepassingen, een bedrijfsmodel bekend als pay-per-install die tot $ 1,50 oplevert voor elke succesvolle installatie. Onlangs is hete eerste diepgaand onderzoek met de Universiteit van New York afgerond naar meerdere pay-per-install-netwerken en de ongewenste software pakketten bij deze installaties. Het volledige rapport, dat u hier kunt lezen, wordt volgende week gepresenteerd tijdens het USENIX Beveiliging Symposium.
In een jaar tijd werden vier van de grootste pay-per-install netwerken die routinematig verdeeld ongewenste ad injectoren, browser hijackers en scareware geïdentificeerd door meer dan 30 antivirus-engines. Deze bundels werden bedrieglijk aanbevolen door middel van valse software-updates, misleidende pakketten en vervalste merken - deze technieken worden openlijk besproken op ondergrondse forums als manieren om gebruikers te verleiden tot het ongewild downloaden van software en het accepteren van de installatie voorwaarden. Hoewel niet alle software pakketten leiden tot ongewenste software,hoeft er maar één misleidende partij in een keten van webadvertenties, pay-per-install netwerken en applicatie-ontwikkelaars te zitten om zich te manifesteren.
Achter de schermen van ongewenste software distributies
Wanneer je ooit een installatie dialoogvenster zoals hierboven hebben gezien, dan bent je al bekend met het pay-per-install distributiemodel. Achter de schermen zijn er een paar verschillende spelers:
- Adverteerders: In pay-per-install taal zijn adverteerders software-ontwikkelaars, met inbegrip van ongewenste software-ontwikkelaars, die betalen voor installaties via bundels. In het voorbeeld hierboven zijn deze adverteerders zijn onder andere Plus-HD en Vuupc. De kosten per installatie varieert van $ 0,10 in Zuid-Amerika tot $ 1,50 in de Verenigde Staten. Ongewenste software ontwikkelaars zullen proberen dit verlies via advertentie injecties terug te verdienen, of de verkoop van zoekverkeer, of het heffen van abonnementskosten. Tijdens ons onderzoek is vastgesteld 1.211 adverteerders betalen voor installaties.
- Affiliate netwerken: affiliate netwerken fungeren als tussenpersoon tussen adverteerders op zoek naar installaties en populaire software pakketten bereid om extra applicaties te bundelen in ruil voor een vergoeding. Deze affiliate netwerken zijn de core-technologie voor het bijhouden van succesvolle installaties en facturering. Daarnaast bieden ze tools die proberen Google Safe Browsing of anti-virus detectie te dwarsbomen. Er zijn minstens 50 affiliate netwerken die deze werkwijze toepassen.
- Uitgevers: Tot slot worden populaire software-applicaties opnieuw ingepakt met binaries die meerdere adverteerders en aanbiedingen omvatten. Uitgevers zijn dan verantwoordelijk om gebruikers zover te krijgen om hun software te downloaden en te installeren waar mogelijk: download portals, organisch pagina verkeer, of vaak misleidende advertenties. De studie ontdekt 2518 uitgevers, verspreidt over 191.372 webpagina's.
Wat wordt er geleverd?
De aanbiedingen gebundeld door vier van de grootste pay-per-install affiliate netwerken werden op eendagelijkse basis over de periode van meer dan een jaar gevolgd. In totaal werden 446K aanbiedingen met betrekking tot 843 unieke software pakketten verzameld. De meest meegeleverde software zijn ad injectoren, browser hijackers, en scareware die ogenschijnlijk dringende problemen met de computer van een slachtoffer voor $ 30-40 vaststelt. Hier is een voorbeeld van een advertentie injector zich voordoen als een anti-virus alert om gebruikers te scammen met een niet bestaand probleem:
Misleidende praktijken
Over het geheel genomen werden 59% van de wekelijkse aanbiedingen gebundeld door pay-per-install affiliate netwerken als mogelijk ongewenst gemarkeerd door ten minste één anti-virus programma. Als reactie, zullen softwarepakketten voor installatie eerst de computer scannen op de aanwezigheid van "vijandige" antivirusengines. Bovendien, als reactie op de bescherming door Google Safe Browsing, nemen uitgevers de toevlucht tot steeds ingewikkelder tactieken teneinde detectie te voorkomen, zoals de ter ziele gegane techniek van met wachtwoord beveiligde gecomprimeerde binaries hieronder:
In combinatie met misleidende promotie-tools zoals valse video codecs, software-updates, of valse merken, is er een veelheid van misleidende middelen beschikbaar om software te bundelen.
Het ecosysteem opruimen
Er wordt voortdurend gewerkt aan het verbeteren van Google Safe Browsing en de Chrome Cleanup Tool om gebruikers te beschermen tegen ongewenste software installaties. Als het gaat om het advertenties beleid, nemen ze snel actie door adverteerdes te blokkeren en te verwijderen die downloads verkeerd distribueren of het ongewenste software beleid van Google schenden.Bovendien is Google aan het pushen voor echte verandering bij bedrijven die betrokken zijn in de markt van pay-per-installaties om de misleidende praktijken van een aantal deelnemers aan te pakken. Als onderdeel hiervan, Google onlangs Schone Software Summit georganiseerd wwarbij leden van de anti-virus industrie samen gebracht werden met bundelende platforms, en de Clean Software Alliance. Samen, legden ze de basis voor een industrie-brede initiatief om gebruikers te voorzien van duidelijke keuzes bij het installeren van software en om misleidende acteurs en ongewenste installaties te blokkeren. Google blijft pleiten in naam van de gebruikers om ervoor te zorgen dat ze veilig software kunnen downloaden.
Reacties
Een reactie posten