Шпионские программы (Spyware)

Главные вкладки

Шпионские программы (Spyware) - один из самых распространённых видов нежелательного программного обеспечения, предназначенный для несанкционированного сбора данных с пользовательского устройства. Обусловлена такая популярность простотой данных программ и их востребованностью. Многие шпионские программы (или spyware) могут быть легальными и даже распространяться в официальных магазинах приложений. Они используются, например, для сбора данных о местоположении устройства, посещаемых сайтах, конфигурации компьютера, используемом программном обеспечении, вводимых с клавиатуры данных и т.д. Как правило программы-шпионы не имеют каких-либо выраженных вредоносных функций для устройства жертвы, но могут стать причиной утечки конфиденциальных данных и нарушения приватности.

Классификация шпионских программ (Spyware)

1. Трекеры (программы слежения)

Трекеры, или отслеживали, выполняют одно действие - передают злоумышленнику данные о местоположении, открываемых веб-сайтах, документах, списках контактов, маршруте передвижения, наиболее часто посещаемых местах и т.п. В свою очередь, трекеры делятся на два вида: аппаратные и программные.

Аппаратные трекеры выглядят как миниатюрное устройство, например, брелок. Большинство из них просто передает данные о текущем положении объекта слежения, однако некоторые варианты обладают более широким функционалом. Аппаратные трекеры могут быть абсолютно легальными - их используют для сбора информации о текущем положении своей машины автомобилисты, с их помощью можно узнать местоположение ценной вещи и т.д.

Второй вид трекеров - программные трекеры. Их используют для сбора любых данных о пользовательской активности: просматриваемых веб-сайтах, документах, электронной почте, контактах,  данных о местоположении смартфона, планшета, ноутбука и т.п. Программные трекеры также могут быть легальными: их используют для определения местоположения сотрудников в рабочее время, или родители, беспокоящиеся о своем ребенке.

Обе категории трекеров могут использоваться злоумышленниками для несанкционированного сбора информации о передвижении жертвы. Аппаратный трекер может быть незаметно имплантирован в один из компонентов компьютера, а программный - незаметно установлен под видом или вместе с какой-либо легальной программой.

К легальным треккерам можно условно отнести всевозможный тулбары для браузеров, выпускаемые поисковыми системами и крупными интернет-порталами, такими как Yahoo, Яндекс или Mail.ru. Такие тулбары с разрешения пользователя или по его незнанию собирают исчерпывающую информации об интернет-серфинге пользователя, которая используется ими в разработке сервисов и таргетировании рекламы.

2. Кейлоггеры (клавиатурные шпионы)

Кейлоггеры - это специальные программы или устройства, которые записывают нажатие клавиш на клавиатуре устройства. Как и трекеры, кейлоггеры делятся на два типа: аппаратные и программные.

Программные кейлоггеры - это программы, записывающие все нажимаемые клавиши на клавиатуре. Для каждой операционной системы имеется свой набор кейлоггеров. Многие из них могут даже считывать нажатия по горячим или служебным клавишам, таким как alt, cltr. Многие отправляют собранные данные мошеннику: например, на FTP-сервер, а некоторые даже по электронной почте.

Аппаратные кейлоггеры - это небольшие устройства, которые вставляются в компьютер и считывают все нажатия на клавиатуре, подключенной к нему. Некоторые аппаратные кейлоггеры могут использовать уязвимость BadUSB. В отличии от программных кейлоггеров, аппаратные никак не воздействуют на жесткий диск ПК: все данные они сохраняют во встроенную память кейлоггера или на SD-карту, подключенную к нему.

Объект воздействия шпионских программ

Как трекеры, так и кейлоггеры, в программном виде, могут быть установлены злоумышленником в любое устройство жертвы: будь то персональный компьютер, или смартфон. Аппаратные варианты сложнее установить (нужен физический доступ к устройству) и они могут проще обнаружены жертвой, поэтому программные трекеры и кейлоггеры считаются более предпочтительными.  

Основной их целью является несанкционированный сбор информации с устройства. Но очень часто шпионские программы (spyware) используются для сбора маркетинговой информации и профилирования пользователей для целевого показа рекламы. Информация о конфигурации компьютера, программном обеспечении, посещаемых веб-сайтах, статистике запросов к поисковикам  и вводимые с клавиатуры слова позволяют очень точно профилировать пользователя, определить род его деятельности и круг интересов. В этом случае наблюдается связка с Адваре (Adware). Шпионская программа собирает данные и передает ее на сервер рекламной фирмы, где она анализируется и используется для точного таргетирования рекламы именно этому пользователю, зачастую через неправомерное внедрение в содержимое просматриваемых веб-страниц.

Источник угрозы

Источники шпионских программ можно разделить на два основных канала. Первый из них нелегальный и мало отличается от распространения вредоносных программ. Пользователя могут обманом вынудить установить шпионскую программу или поставить незаметно установить ее через незакрытую уязвимость. Второй канал легальный. Шпионский модуль может содержаться в легальном программной обеспечении или же устанавливаться дополнительно (пользователь не замечает этого в процессе инсталляции). Показательным примеров второй группы являются некоторые версии “фирменных” браузеров и тулбары к ним, которые совершенного легально собирают для своих разработчиков огромное количество информации о пользовательской активности. Тоже самое делают и новые версии операционных систем, например, скандально известная  Windows 10, в которой обнаружено множество функций для сбора так называемой “телеметрии”.  Аналогичные легальные шпионские функции, скрытые или открытые, по мнению многих исследователей, есть практически во всех современных операционных системах.

Анализ риска

Шпионское оборудование или программы очень опасны для приватности человека. С их помощью злоумышленники или крупные корпорации собрать очень много личных данных о пользователях или даже украсть его конфиденциальную информацию. Огромное количество различных шпионских утилит можно найти в открытом доступе, или даже в официальных магазинах приложений. Аппаратные трекеры и кейлоггеры можно свободно купить в сети. Многие операционные системы, браузеры и оборудование имеют встроенные и включенные по умолчанию шпионские функции, о чем обычные пользователи могут даже не догадываться.

Чтобы защитить себя от шпионских программ нужно выполнять ряд простых действий:

  1. Установить современную антивирусную программу и активировать в ней функции поиска нежелательных программ (шпионские программы (spyware), кейлоггеров, трекеров, адваре и тп).
  2. Установить фаервол и контролировать сетевую активность установленных программ.
  3. Внимательно проверять настройки приватности операционных систем и браузеров, отключать лишние функции и отправку личных данных кому-либо.
  4. Внимательно относиться к установке программ и выбору компонентов при инсталляции. Вместе с полезной программой вам может быть установлен целый набор нежелательного ПО “в нагрузку”.
  5. Периодически проводить аудит установленных программ и удалять неопознанные или редко используемые, так вы сузите потенциальную зону риска.

Анализ угроз