Škodlivé aplikace typu „ad injector“ fungují na jednoduchém principu – na navštívené stránce vyměňují reklamy za vlastní, případně na vhodná místa vkládají inzeráty nové. Z případných prokliků pak získávají peníze.
Mimo to ale ještě s sebou nesou podstatné riziko chycení viru, malwaru či jiného škodlivého softwaru, protože využívají inzertní sítě a systémy, které si s bezpečností rozhodně hlavu nelámou.
Podle studie Ad Injection at Scale: Assessing Deceptive Advertisement Modifications (PDF) je takových aplikací pro Google Chrome 84 tisíc – 50 tisíc jsou rozšíření a 34 tisíc aplikace jako takové. A jakkoliv je v tomto případě cílem Chrome, podobné škodlivé aplikace a rozšíření najdete i pro další prohlížeče. Včetně klasického adwaru, který se instaluje přímo do počítače a ovlivňuje všechny prohlížeče i aktivity.
Dobrá třetina takovýchto aplikací podle studie přináší ještě další škodlivé aktivity – krade přihlašovací údaje, přesměrovává vyhledávání a sděluje provozovatelům vše o tom, co uživatel dělá. Problém se navíc netýká pouze Windows, škodlivé výměníky inzerce fungují i na dalších platformách, všude tam, kde je možné mít rozšíření v Chrome i dalších prohlížečích.
Okolo těchto aplikací je navíc vybudovaný kompletní ekosystém poskytovatelů affiliantních služeb. Studie zmiňuje, že přiživujících se firem je až tisícovka – nejpopulárnější mají být Superfish a Jollywallet, zmiňovány jsou ještě Crossrider, Shopper Pro či Netcrawl. Superfish navíc velmi dobře známé z aféry s notebooky od Lenovo (viz Lenovo instaluje na nové počítače nebezpečný adware a MITM nástroj).
Google rozšíření či aplikace s takovouto funkčností z Google Play odstraňuje a zasahuje také proti inzerátům, které uživatele vedou k jejich instalaci.