FocusDeploy

FocusDeploy cible les systèmes Mac et tente ensuite de monétiser sa présence là-bas, en agissant comme un logiciel publicitaire et un pirate de navigateur. Naturellement, il est extrêmement peu probable que les utilisateurs téléchargent et installent volontairement une application aussi douteuse. Au lieu de cela, ces applications sont classées comme PUP (Potentially Unwanted Programs) en raison des tactiques trompeuses impliquées dans leur distribution. Les méthodes sournoises peuvent inclure le regroupement de l'application intruse avec un programme plus populaire ou l'injection dans de faux installateurs/mises à jour.

Peu importe comment FocusDeploy a pu se faufiler dans le Mac, il commencera à lancer une campagne publicitaire intrusive. Les supports publicitaires livrés peuvent prendre de nombreuses formes - pop-ups, bannières, sondages, liens dans le texte, etc., et peuvent être placés sur des sites légitimes, affectant considérablement l'expérience de navigation sur l'appareil.

FocusDeploy est également utilisé comme véhicule pour la promotion d'un faux moteur de recherche. L'application prendra le contrôle de la page d'accueil du navigateur, du nouvel onglet de page et du moteur de recherche par défaut. En modifiant ces trois paramètres, la page promue sera ouverte chaque fois que l'utilisateur démarre le navigateur concerné, ouvre un nouvel onglet ou lance une recherche via la barre d'URL. Les faux moteurs sont généralement incapables de fournir des résultats par eux-mêmes et, à la place, redirigent les recherches de l'utilisateur vers un moteur légitime tel que Yahoo.

Les PPI présentent également généralement un autre comportement intrusif en espionnant les activités de navigation de l'utilisateur. Ces applications peuvent accéder à l'historique de navigation, à l'historique de recherche, à l'adresse IP, à la géolocalisation, etc.