Потенциально нежелательная программа

Первые крупные компании, работающие с потенциально нежелательными программами с целью получения дохода, появились в США в середине 2000-х годов, например, Zango — американская компания — разработчик программного обеспечения, предоставлявшая пользователям доступ к видео, играм, инструментам и утилитам своих партнёров в обмен на просмотр целевой рекламы, размещаемой на их компьютерах.

Деятельность таких компаний пошла на спад после того, как власти начали проводить расследования, а в некоторых случаях и предъявляли обвинения в навязчивых и вредоносных установках.

Например, программное обеспечение Zango классифицировалось компанией Symantec как навязчивая реклама (adware), а компанией McAfee — как потенциально нежелательная программа. В апреле 2009 года Zango прекратила деятельность после федерального судебного решения против навязчивых практик веб-рекламы и банкротства банка^[5].

«Долина загрузок» (англ. Download Valley) — это кластер израильских компаний — разработчиков программного обеспечения, производящих и поставляющих рекламное ПО, устанавливаемое одновременно с загрузкой другого программного обеспечения. Основная цель — монетизация условно-бесплатного ПО и загрузок. Этот термин часто используется израильскими СМИ, а также в других репортажах, связанных с ИТ-бизнесом^[6]. С помощью инструментов скрытой загрузки^[7] эти компании устанавливают на системы пользователей нежелательное дополнительное ПО^[8][9].

Самые известные из них:

• Babylon — электронный словарь и программа автоматического перевода, поддерживающая 75 языков. Разработан израильской компанией Babylon, основанной в 1997 году. Панель инструментов Babylon toolbar широко распространялась в комплекте с другими программами, скачиваемыми через Интернет, и регистрировалась как расширение браузера. При запуске браузера приложение устанавливало поисковую систему Babylon по адресу search.babylon.com в качестве домашней страницы, а также добавляло её на компьютер пользователя и назначало себя поисковой системой по умолчанию^[10]. По этой причине Babylon toolbar был охарактеризован как вредоносная программа^[11]. В 2012 панель Babylon toolbar была признана вредоносной программой, захватывающей браузеры, которая очень легко инсталлируется, но с огромными трудностями удаляется. Многочисленные программы по борьбе с Spyware — такие как Stopzilla, Spybot — Search & Destroy — определили Babylon toolbar как нежелательное приложение. После отказа Google о продлении соглашения о сотрудничестве между двумя компаниями с 30 ноября 2013 года (из-за жалоб от пользователей Google Chrome)^[12], компания Babylon Software отказалась от использования приложения Babylon toolbar.
• Conduit Ltd. — компания была основана в 2005 году, и до 2013 года её самым известным продуктом была панель инструментов Conduit, которая считалась вредоносным ПО^[13][14]. Conduit и Perion Network (ранее известная как IncrediMail, была основана в 1999 году) объединились в 2013 году.

• IronSource — компания была основана в 2010 году, , а также за многочисленные рекламные продукты, распространяемые через них, такие как Funmoods^[15] и FoxTab. В феврале 2011 года компания выпустила свой первый продукт, InstallCore, в виде SDK с открытым исходным кодом для кроссплатформенного инструмента создания установщиков и платформы доставки рекламных продуктов, таких как Funmoods^[15] и FoxTab. Было замечено, что InstallCore использует скрытые методы, чтобы избежать наблюдения антивирусами и другими программами безопасности, а также обходит проверки, подписывая программы нелегитимными сертификатами безопасности. Это было классифицировано как потенциально нежелательное приложение компанией Sophos в 2014 году^[16] и компанией Microsoft Essential в 2015 году^[17], а Malwarebytes идентифицировала программу как «семейство упаковщиков, устанавливающих более одного приложения на компьютер пользователя»^[18]. Продукт был прекращён в 2020 году и больше не поддерживается компанией^[19].
• Superfish^[20] — рекламный продукт, разработанный одноимённой компанией (основана в 2006 году), которая прекратила свою деятельность под этим названием в 2015 году после разногласий по поводу её продукта, предустановленного на ноутбуках Lenovo, в ходе которых Министерство внутренней безопасности США рекомендовало удалять небезопасный корневой сертификат, поскольку он делает компьютеры уязвимыми к серьёзным кибератакам^[21].
  

Количество нежелательных программ увеличивается с каждым годом.

Одно из исследований, проведённое в 2014 году, классифицировало, что нежелательные программы составляют 24,77 % от общего числа заражений вредоносным ПО^[22]. По данным Google, в число этих вредоносных программ входит навязчивое рекламное ПО (adware)^[23][24].

Многие программы включают нежелательные расширения браузера, которые отслеживают, какие сайты посещает пользователь, чтобы продавать эту информацию рекламодателям, или добавляют рекламу на веб-страницы. 5 % посещений веб-сайтов, принадлежащих Google, через браузер компьютера изменяются компьютерными программами, которые внедряют свою рекламу на страницы^[25][26]. Исследователи выявили 50 870 расширений Google Chrome и 34 407 программ, которые внедряют рекламу. 38 % расширений и 17 % программ были классифицированы как вредоносное ПО, остальные — как потенциально нежелательные приложения типа adware. Некоторые разработчики расширений Google Chrome продали свои расширения сторонним компаниям, которые незаметно внедряют нежелательные обновления, включающие ранее не существовавший adware в расширения^[27][28][29].

К потенциально нежелательным программам относятся^[30]:

• Торрент-клиенты и подобные им менеджеры загрузок, использующие для обмена данными одноранговые сети (PNP). Посредством торрентов зачастую распространяется пиратская программная продукция или запрещённые цифровые материалы.
• Установщики программ и драйверов. Менеджеры ПО/драйверов, скачанные с сомнительных сайтов, могут не только выполнять свою прямую функцию, но и скачивать и устанавливать на компьютер вирусы.
• Майнинговые программы (майнеры) для получения криптовалют.
• Рекламные/маркетинговые программы. Предлагают пользователям зайти на тот или иной сайт, поставить "лайк"в соцсети, зарегистрироваться где-нибудь, оставить сообщение на форуме и т. д.

Программы — шпионы устанавливают на компьютер пользователя прокси-сервер, контролирующий весь проходящий через него веб-трафик, отслеживая интересы пользователя для создания профиля и последующей продажи этого профиля рекламодателям.

Superfish — программа — инжектор рекламы, которая создаёт собственный корневой сертификат в операционной системе компьютера, позволяя инструменту внедрять рекламу в зашифрованные страницы поиска Google и отслеживать историю поисковых запросов пользователя.

В феврале 2015 года Министерство внутренней безопасности США рекомендовало удалить Superfish и связанный с ним корневой сертификат с компьютеров Lenovo, поскольку они делают компьютеры уязвимыми к серьёзным кибератакам, включая перехват паролей и конфиденциальных данных, передаваемых через браузеры^[21][31]. Германский медиаконцерн Heise Gruppe GmbH & Co. KG сообщал, что сертификат Superfish входит в пакеты загрузки с рядом приложений от таких компаний, как SAY Media и Ad-Aware Web Companion от Lavasoft^[32].

Некоторые компании используют перехват браузера для изменения домашней страницы и страницы поиска пользователя, чтобы принудительно перенаправлять пользователей на определённый веб-сайт и зарабатывать деньги на рекламодателях.

Взлом/угон/перехват браузера (англ. browser hijacking) — это вид киберпреступлений, связанный с изменением настроек браузера пользователя без его разрешения, и хотя это может показаться относительно безобидным, он может привести к установке вредоносного и шпионского ПО на устройство — с серьёзными последствиями^[33].

Другие компании крадут файлы cookie из браузера пользователя, перехватывая его подключения к сайтам, на которых он авторизован, и выполняют действия от имени пользователя (используя его учётную запись) без его ведома или согласия (например, установка приложения для Android).

Коммутируемый доступ в интернет (Dial-Up) практически не используется, так как с начала 2000-х годов его стали вытеснять кабельное, оптоволоконное и спутниковое соединения. Пользователи с коммутируемым доступом подключались к Интернету с помощью модемов, которые были мишенью для мошеннических приложений, использовавших уязвимости безопасности операционной системы для набора платных номеров.

Многие устройства Android подвергаются атакам вредоносных программ, которые использует премиум-сервисы SMS для взимания платы с пользователей^[34].

Определённые типы программ обычно устанавливаются пользователем осознанно (в том числе и проверенные миллионами пользователей установщики драйверов и программ). Антивирусы обычно никак не реагируют на установку и использование подобных приложений, так как многие из них даже имеют официальную лицензию на запуск в операционных системах Windows. Но и они у разработчиков антивирусов и операционной системы Windows числятся в списках потенциально нежелательного ПО, и от антивируса может последовать предупреждение, что скачанная/устанавливаемая/запускаемая «программа является нежелательной, её следует использовать осторожно, а лучше и вовсе удалить»^[30].

Программы для пирингового обмена файлами иногда помечаются как PUA и удаляются из-за предполагаемых связей с пиратством. В марте 2021 года Windows Defender начал удалять uTorrent и qBittorrent, что вызвало широкое недоумение среди пользователей. С тех пор Microsoft обновила базу данных PUA, чтобы помечать torrent-клиенты только в корпоративных установках^[35].

Генераторы ключей, не заражённые реальным вредоносным ПО, также часто помечаются как PUA из-за пиратства^[36].

Чаще всего антивирусы ложно воспринимают как угрозу^[30]:

• Программы, активированные нелегальными путями (взломанные, нелицензионные).
• Различного рода «крэки» и активаторы — программы, служащие для взлома других программ (как правило, платных).
• Модифицированные извне программы (не обязательно платные).
• Программы, предназначенные для модификации каких-либо файлов (например, моды к компьютерным играм, изменяющие графику или добавляющие новые объекты).
• Твикеры — программы, предназначенные для изменения системных настроек.
• Неподходящие ввиду устаревания для установленной версии операционной системы или неподписанные драйверы.
• Специализированные сетевые программы, служащие, например, для анализа принимаемого/отправляемого трафика, что требует вмешательства в работу сетевого адаптера.
• Программы, предназначенные для извлечения каких-либо данных из файлов.
• Программы, способные вмешиваться в запущенные процессы или изменять данные в оперативной памяти.

Нельзя считать, что все существующие программы, отнесённые к той или иной категории, являются безопасными. Разработчики таких программ делают пометку о необходимости добавления приложения в список исключений антивируса (обычно, упоминая конкретные антивирусы).

В 2015 году исследование от Emsisoft (новозеландской компании — разработчика антивирусных программ) показало, что все поставщики бесплатных загрузок упаковывают свои загрузки с потенциально нежелательным ПО, и что Download.com является худшим нарушителем^[4]. На сайте howtogeek в статье от 21.01.2015 года сообщается: «К сожалению, даже в Google все топ-результаты для большинства открытого ПО и бесплатного софта — это просто реклама для действительно ужасных сайтов, которые упаковывают бесполезное ПО (crapware), рекламное ПО (adware) и и вредоносное ПО (malware) поверх установщика»^[37].

В декабре 2011 года Гордон Лайон (Gordon Lyon, также известный под псевдонимом Фёдор Васькович/Fyodor Vaskovich — американский эксперт по сетевой безопасности, создатель Nmap и автор книг, веб-сайтов и технических статей о сетевой безопасности) выразил своё резкое недовольство тем, что Download.com начал включать нелегальное («серое») ПО в свои менеджеры установки, и высказал опасения по поводу этого программного обеспечения, что вызвало множество публикаций в социальных сетях и несколько десятков публикаций в СМИ. Основная проблема заключалась в путанице между контентом, предлагаемым Download.com^[38][39], и программным обеспечением, предлагаемым оригинальными авторами; обвинения включали обман, а также нарушение авторских прав и товарных знаков^[39].

В 2014 году The Register и US-CERT предупредили, что через «мошенническое ПО» Download.com «злоумышленник может загрузить и выполнить произвольный код»^[40].

Многие разработчики программного обеспечения с открытым исходным кодом выражали разочарование и огорчение тем, что их работы продаются компаниями, которые получают прибыль от их работы, используя поисковую рекламу, чтобы занимать первое место в результатах поиска. Всё чаще такие сайты предлагают бандлеры, содержащие нежелательное ПО, и вводят пользователей в заблуждение, выдавая эти готовые программы за официальную страницу загрузки, одобренную проектом с открытым исходным кодом.

С начала 2016 года ситуация изменилась^[41]. Право собственности на SourceForge перешло к SourceForge Media, LLC, дочерней компании BIZX, LLC (BIZX)^[42]. После продажи они удалили программу DevShare, что означает, что пакетные установщики больше не доступны.

В ноябре 2013 года бесплатная программа для обработки изображений GIMP, удалила свою загрузку с SourceForge, сославшись на вводящие в заблуждение кнопки загрузки, которые могут сбивать с толку пользователей, а также на собственный установщик Windows от SourceForge, который включает в себя предложения сторонних разработчиков. В заявлении GIMP назвал SourceForge когда-то «полезным и надёжным местом для разработки и размещения свободных приложений», которое теперь столкнулось с «проблемой рекламы, которую они допускают на своих сайтах…»^[43]. В мае 2015 года проект GIMP для Windows на SourceForge был передан в собственность аккаунту «SourceForge Editorial Staff», и загрузка рекламного ПО была снова разрешена^[44]. То же самое произошло с разработчиками nmap^[45][46].

В мае 2015 года SourceForge взял под контроль проекты, перенесенные на другие хостинги, и заменил загрузки проектов загрузками, содержащими рекламное ПО^[47].

Создатель Nmap Гордон Лайон (Gordon Lyon) потерял контроль над страницей Nmap на SourceForge, так как SourceForge взял на себя управление страницей проекта. Лайон заявил: «Пока что они, похоже, предоставляют только официальные файлы Nmap (если только вы не нажимаете на поддельные кнопки загрузки), и мы не поймали их за троянами Nmap, как они это сделали с GIMP. Но мы им определённо не доверяем! Sourceforge использует ту же схему, которую CNet Download.com опробовал, когда начал пускать в оборот чужие ресурсы»^[45][46].

Компания VideoLAN выразила обеспокоенность тем, что пользователи, ищущие их продукт, видят поисковую рекламу с веб-сайтов, предлагающих «пакетные» загрузки, включающие нежелательные программы, в то время как у VideoLAN нет ресурсов, чтобы подать в суд на многие компании, злоупотребляющие их торговыми марками^[37][48][49].

Представленная статистика^[50] основана на анализе уведомлений о срабатывании продуктов «Лаборатории Касперского» на устройствах пользователей, давших согласие на передачу статистических данных в Kaspersky Security Network.

• Было предотвращено 33,3 миллиона атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
• Самой распространенной угрозой для мобильных устройств стало рекламное ПО — 35 % от всех выявленных угроз.
• Было обнаружено 1,1 миллиона вредоносных и потенциально нежелательных установочных пакетов, из которых почти 69 тысяч относились к мобильным банковским троянцам.

В 2024 году число уникальных установочных пакетов вредоносного и нежелательного ПО продолжило снижаться по сравнению с предыдущими годами, однако темп этого снижения замедлился.

По данным статистики детектирований Dr.Web Security Space для мобильных устройств^[51], в 2024 году наиболее распространёнными угрозами стали вредоносные программы, на долю которых пришлось 74,67 % всех случаев обнаружения. За ними расположились рекламные приложения с долей 10,96 %. Третье место с показателем 10,55 % заняли потенциально опасные программы. Четвёртыми по распространённости стали нежелательные программы — пользователи сталкивались с ними в 3,82 % случаев.

Самой часто детектируемой нежелательной программой в 2024 году стала Program.FakeMoney.11. На неё пришлось более половины — 52,10 % — от общего числа выявленного на защищаемых устройствах нежелательного ПО. Она принадлежит к классу приложений, которые предлагают пользователям заработать на выполнении различных заданий, но в итоге не выплачивают никаких реальных вознаграждений.

Программы, которые антивирус Dr.Web детектирует как Program.CloudInject.1, расположились на втором месте с долей 19,21 % (рост на 9,75 п. п. по сравнению с годом ранее). Такие приложения проходят модификацию через облачный сервис CloudInject — к ним добавляются опасные разрешения и обфусцированный код, назначение которого нельзя проконтролировать.

Приложения Program.FakeAntiVirus.1 второй год подряд снижают активность — они стали третьими по распространённости с показателем 10,07 %, что на 9,35 п. п. меньше, чем в 2023 году. Эти программы имитируют работу антивирусов, обнаруживают несуществующие угрозы и предлагают владельцам Android-устройств купить полную версию для «исправления» якобы выявленных проблем.

В течение года пользователи сталкивались с различными программами для наблюдения и контроля активности. Такое ПО может использоваться для сбора данных как с согласия владельцев устройств, так и без их ведома — во втором случае они фактически превращаются в шпионские инструменты. Наиболее часто на защищаемых Dr.Web устройствах обнаруживались программы для мониторинга Program.TrackView.1.origin (2,40 % случаев), Program.SecretVideoRecorder.1.origin (2,03 % случаев), Program.wSpy.3.origin (0,98 % случаев), Program.SecretVideoRecorder.2.origin (0,90 % случаев), Program.Reptilicus.8.origin (0,64 % случаев), Program.wSpy.1.origin (0,39 % случаев) и Program.MonitorMinor.11 (0,38 % случаев).

Несмотря на предпринимаемые шаги для повышения безопасности Google Play, этот каталог всё ещё остается одним из источников распространения Android-угроз. Поэтому нельзя исключать появления в нём новых вредоносных и нежелательных приложений.