Silent installs : studying the dark side of the Pay-Per-Install business

Abstract

Ausgefeilte Geschäftsmodelle bilden heutzutage die Grundlage für den Vertrieb und die Entwicklung von Malware. Cyber-Kriminelle erreichen damit eine effizientere Arbeitsteilung, sodass Kernkompetenzen bestmöglich zum Einsatz gebracht werden können. Dementsprechend ist die Verteilung von Schadsoftware oft ein Unterfangen, an dem mehrere, spezialisierte Gruppen beteiligt sind. Ein Beispiel für eine solcherart spezialisierte Gruppe ist der Pay-Per-Install (PPI) Provider. PPI Provider verkaufen die Ausführung bösartiger Programme auf gekaperten Computern als Service an andere Kriminelle, welchen die Fähigkeit zur effizienten Schadsoftwareverteilung fehlt. Diese Arbeit konzentriert sich auf PPI Provider mit Partnerprogrammen, und beleuchtet deren Geschäftsmodell aus unterschiedlichen Perspektiven. Wir analysieren Infrastruktur und Software von PPI Providern, um neuartige Erkenntnisse über die zugrundeliegende Wertschöpfungskette zu gewinnen. Über einen Zeitraum von sechs Monaten beobachteten wir das Verhalten von 33 PPI Supportmitarbeitern und identifizierten damit Gemeinsamkeiten von Webseiten, obwohl diese scheinbar nicht in Beziehung stehen. Darauf aufbauend beschreiben wir die Gründung und Bewerbung unseres eigenen PPI Affiliate Programms, welches letztendlich eine potenzielle Infektionskapazität von 55.000 Computern pro Tag erreicht hat. Abschließend identifizieren wir wichtige ökonomische Eigenschaften des PPI Geschäftsmodells und fassen unsere Resultate unter Anwendung der Business Model Ontology zusammen.

Today, cyber-criminals develop, distribute, and operate malicious software based on sophisticated business models. Efficient division of labor enables them to leverage their core competencies, and focus on specific sub-tasks of the value chain. Therefore, current malware deployment often involves specialized middlemen, called Pay-Per-Install (PPI) providers. These PPI providers turn the delivery of malicious binaries to hijacked hosts into a service, assisting criminals who lack the skills to efficiently distribute malware on their own. In our work, we focus on PPI providers with affiliate programs, and analyze their business model from several perspectives. We study PPI infrastructure and binaries, providing new insights into the PPI ecosystem. We monitor 33 PPI support contacts to identify connections between seemingly unrelated PPI websites. Also, we describe how we created and promoted our own fake PPI affiliate program, gaining a potential infection capability of 55,000 systems per day. Finally, we identify important economic features of the PPI business model, and summarize our findings using the Business Model Ontology.