Сотрудниками компании «Доктор Веб» было сообщено о наблюдаемом с начала 2013 года увеличение общего объема рекламных приложений для компьютеров, которые работают под управлением Mac OS X. Самыми главными является троянец Trojan.Yontoo.1, загрузчик который устанавливает на инфицированный компьютер некоторые дополнение для наиболее распространённых браузеров, основным назначением которого является демонстрация рекламных роликов во время просмотра сайтов.
Trojan.Yontoo.1 имеет возможность проникать на компьютеры жертв самыми различными способами. К примеру, для того, чтоб распространить троянца злоумышленниками был создан специальный сайт, которых в сети множество, с анонсами популярных фильмов, во время открытия которых в верхней части окна начинает происходить демонстрация стандартных предложений установки плагина для Вашего браузера. Но в то же время этот диалог всего лишь имитирует традиционную панель, которая демонстрируется пользователю в случае установки каких-либо дополнений или надстроек, и создавался злоумышленниками специально для того, чтобы ввести потенциальных жертв в заблуждение. После того, как жертва нажимаете на кнопку Install the plug-in, начинает происходить перенаправление пользователя на сайт для загрузки приложений, детектируемого антивирусной программой «Доктор Веб» как Trojan.Yontoo.1.
Злоумышленниками были предусмотрены несколько альтернативных вариантов распространения данной угрозы. К примеру, жертвой может быть загружен троянец под видом медиаплеера, программного обеспечения для улучшения качества просмотра видеофайлов, «ускорителя» загрузки материалов из Интернета и т. д. Запустив Trojan.Yontoo.1 начинает демонстрироваться на экране монитора диалоговое окно от устанавливающейся программы, которое предлагает инсталлировать данное приложение под названием Free Twit Tube.
Но вместо желаемой программы после того, как нажимается кнопка Continue троянец начинает загружать из Интернета и в то же время устанавливать необходимый плагин Yontoo для самых популярных среди пользователей операционной системой Mac OS X браузеров: Chrome, Safari, а также Firefox. Данный плагин в процессе просмотра интернет-страницы в фоновом режиме начинает передавать на удаленный сервер данные об открыто странице на браузере пользователь.
В ответ на данное приложение от злоумышленников присылается специальный файл, который позволяет встраивать в просматриваемые пользователем веб-страницы различные рекламные файлы от сторонних партнерских программ. Именно так выглядит на инфицированном компьютере страница сайта apple.com: