Вирус, получивший официальное название Stantinko, известен с 2012 года. Выполнена утилита профессионально – механизмы самозащиты и надежное шифрование программного кода позволяли ей оставаться незамеченной пять лет.

Создатели вируса Stantinko активно используют приемы, часто встречающиеся в крупных АРТ-компаниях. Однако главная цель злоумышленников – получение значительной финансовой выгоды. Они предлагают другим компаниям услуги кликфрода (переходы по ссылкам в рекламе). Для заражения очередного устройства используется вредоносный загрузчик FileTour, который замаскирован под пиратскую версию популярной программы. Приложение действительно инсталлирует в систему несколько программ, однако это используется для скрытия установки модулей Stantinko (осуществляется в фоновом режиме).

Вредоносная программа также устанавливает в обозреватель два плагина (Teddy Protection и The Safe Surfing), которые начинают показывать рекламные блоки поверх открываемых страниц. Данные расширения распространяются официально через Chrome Web Store, однако вредоносное приложение изменяет их конфигурацию, что позволяет злоумышленникам использовать их для кликфрода и демонстрации рекламы.

В процессе анализа вируса специалисты выяснили, что Stantinko способен не только генерировать трафик – создатели наделили вирус и другими опасными инструментами. К примеру, вредоносная программа способна функционировать как полноценный бэкдор (кража важных данных), взламывать панели управления сайтов, а также использовать мошеннические схемы на Facebook (накрутка лайков, автоматическая отправка заявок в друзья, массовое создание аккаунтов).

Появление Stantinko никак не изменяет работу ПК, что позволяет вирусу оставаться незамеченным длительное время. Однако данный ботнет заметно снижает прибыль рекламодателей. При этом не исключено, что операторы вируса начнут более активно использовать функционал встроенного бэкдора для слежки за пострадавшими пользователями.