Symantecの分析によると、マルウェア「Flashback」の目的は広告クリックを乗っ取って収入を得ることだったという(BBC Newsの記事、 Symantec Connect Communityブログの記事、 ITmediaの記事)。

FlashbackはChrome、Firefox、Safariに広告クリックコンポーネントを組み込んで通信内容を監視する。ユーザーがGoogleで特定のキーワードを検索し、広告をクリックするとコントロールサーバーが指定したURLにリダイレクトされ、本来はGoogleが得るべき収入をFlashbackの作者が横取りするという仕組みだ。1クリックあたりの収入は0.8セント。4月上旬には60万台以上のMacがFlashbackに感染していたことが明らかになっており、感染規模が大きいことから1日あたり1万ドル以上の不正収入を得ていたとみられている。

一方、Dr. Webの調査によると、Flashbackのコントロールサーバーは2種類あり、1つが広告クリックのリダイレクト先を指定するためのもの、もう1つはバックドアへのコマンドを発行するためのものだという。後者のコントロールサーバーが正しく応答しない場合、Flashbackは日付から生成した文字列をハッシュタグに指定してTwitterを検索し、メッセージからコントロールサーバーのアドレスを取得する仕組みになっていたとのこと(Dr. Webのニュースリリース)。