Про MacDefender заговорили після того, як в результаті дій даного додатка постраждало безліч недосвідчених користувачів Mac OS X. Масштаб «зараження» був настільки великий, що Apple спеціально випустила оновлення безпеки, яке очищає систему від всіх відомих на той момент різновидів псевдо-антивірусу. А нещодавно з’ясувалося, що до поширення MacDefender причетна платіжна система ChronoPay.

Коротко нагадаю, як все це працювало: при відвідуванні певних веб-сайтів на комп’ютер користувачів встановлювався MacDefender, зовні схожий на звичайний антивірус. Він відразу ж брався за сканування системи і знаходив страшні віруси, які потрібно негайно видалити після придбання повної версії утиліти.

Природно, ні про які віруси не могло бути й мови. MacDefender був звичайною фальшивкою, він був створений для отримання від недосвідчених користувачів інформації про кредитні карти, використовуючи недостатню обізнаність новачків, які до переходу на Mac працювали в Windows (думаю, ви прекрасно розумієте, про що я говорю).

Більш того, творці MacDefender постійно розвивали свій псевдо-антивірус, випустивши в загальній складності понад 15 різновидів утиліти і змушуючи Apple постійно оновлювати базу даних XProtect.

А в один прекрасний день MacDefender простий зник. Днями експерт Брайан Кребс (Brian Krebs) у своєму блозі розповів, з чим це було пов’язано.

Виявляється, доблесні російські поліцейські провели обшук в офісі російської платіжної системи ChronoPay і виявили безліч доказів» причетності компанії до афери з MacDefender. В ході обшуку російські кібер-поліцейські встановили, що співробітники платіжної системи надавали різноманітну підтримку фальшивих антивірусів, брали дзвінки на номери 1-800, які в США традиційно використовуються для роботи центрів техпідтримки, і навіть працювали в партнерстві з компанією Rx-Promotion (спам, продаж підроблених ліків та наркотичних речовин без рецепта).

Кребс встановив причетність ChronoPay до обману користувачів Mac OS X ще в травні, але тоді платіжна система офіційно спростувала всі звинувачення. Ось що пише Брайан зараз:

23 червня російська поліція заарештувала Павла Врублевського, одного із засновників платіжної системи ChronoPay і головного фігуранта у справі про ринок фальшивих антивірусів.

…За словами джерела, який брав участь у рейді, поліція виявила в офісах ChronoPay безліч доказів того, що співробітники компанії забезпечували технічну та клієнтську підтримку різних фальшивих антивірусних програм, у тому числі, MacDefender.

Ось, наприклад, один з виявлених документів, який підтверджує причетність ChronoPay до афери з MacDefender:

Як ви думаєте, скільки заробляли шахраї? На думку дослідника Дэмона Маккоя, для поширення антивіруса використовувалися PPI-мережі (pay-per-install), які просять мінімум 75$ за 1000 установок підроблених антивірусів:

«Навіть якщо в середньому заплатить 1 користувач з 50, то на тисячу чоловік доведеться приблизно 20 покупок з доходом в 25-035 доларів. Виходить, що з кожної тисячі заражених користувачів можна отримати 500$. Ось чому підроблені антивіруси прекрасні для монетизації ботнетів. Вигідніше тільки друкувати гроші».