Антивирусная компания Dr.Web предупредила об активности троняца Trojan.Triosir.1, распространяющегося с использованием ресурсов партнерской программы Installmonster вместе с различными приложениями.
Основное назначение Trojan.Triosir.1 — подмена содержимого просматриваемых пользователем интернет-страниц посредством технологии веб-инжектов. При этом демонстрируемая троянцем реклама включает ссылки на различные мошеннические ресурсы. Основные модули троянца реализованы в виде плагинов к популярным браузерам. В частности, Trojan.Triosir.1 распространяется вместе с приложением для создания снимков экрана Screeny, устанавливающим в процессе своей инсталляции одноименный плагин для браузеров Mozilla Firefox, Chrome и Opera, который остается в системе даже после удаления основного приложения.
Установленные в инфицированной системе плагины выполняют закачку основного файла вредоносного сценария с удаленного сервера. Данный сценарий, предназначенный для подмены рекламных модулей и встраивания в интернет-страницы посторонней рекламы, начинает работать не сразу, чтобы усыпить бдительность пользователя. Среди рекламируемых троянцем ресурсов преобладают мошеннические сайты, подписывающие пользователя на различные услуги путем отправки на указанный им номер мобильного телефона SMS с кодом подтверждения.