Kaspersky Labmette in guardia contro Ztorg Trojan, sofisticata botnet che ha contribuito ad infettare un milione di device tramite campagne pubblicitarie fasulle.
I ricercatori di Kaspersky Lab hanno scoperto un network su larga scala che promuove applicazioni infettate da Ztorg Trojan attraverso campagne pubblicitarie. Le botnet incentrate su frodi pubblicitarie compromettono i dispositivi con malware che generano visualizzazioni degli annunci e accessi a Google Play per installare o acquistare nuove applicazioni, garantendo così un profitto all’autore della botnet. I distributori di Ztorg hanno sfruttato questo processo già noto, rendendolo più efficace. Secondo Kaspersky, campagne “maligne” di questo tipo avrebbero già intaccato oltre un milione di dispositivi.
Ecco come funziona Ztorg – Ztorg è un Trojan sofisticato con architettura modulare. Appena installato, si connette al server di controllo e carica i dati relativi al dispositivo, inclusi paese, lingua, modello di periferica e versione del sistema operativo. In seguito, Ztorg scarica un secondo modulo che utilizza diversi pacchetti di exploit per ottenere i privilegi di root su un dispositivo infetto. Questi diritti permettono al Trojan di agire in modo continuativo sul dispositivo, mostrando all’utente annunci non richiesti, distribuendo annunci in modo più aggressivo, e installando in modo discreto nuove applicazioni.
Secondo Kaspersky Lab, Ztorg viene distribuito in due modi. Innanzitutto, i criminali acquisiscono traffico da almeno quattro network legali di adv molto popolari, allo scopo di promuovere programmi dannosi. I moduli aggiuntivi di Ztorg rendono visibili gli annunci pubblicitari attraverso questi network per ottenere la ricorsività della promozione: l’utente infettato continuerà a visualizzare annunci provenienti dallo stesso network a causa del Trojan.
Il secondo modo di distribuire Ztorg è tramite applicazioni che pagano gli utenti per installare programmi da Google Play. Queste applicazioni offrono agli utenti 0,04-0,05 centesimi di dollaro per l’installazione di un’applicazione compromessa da Ztorg: gli utenti ricevono come premio pochi centesimi e i loro dispositivi vanno in modalità “zombie”, mostrando annunci indesiderati a beneficio dei cybercriminali.
Come difendersi – In ottica protezione, Kaspersky fornisce la soluzione Kaspersky Internet Security for Android. Inoltre, Kaspersky Lab consiglia agli utenti di verificare sempre che le applicazioni siano state create da un sviluppatore riconosciuto, aggiornare il proprio sistema operativo e il software applicativo, e non scaricare nulla che desti sospetti o la cui fonte non possa essere verificata.
Morten Lehn, General Manager Italy, Kaspersky Lab Nel corso del 2016, i Trojan pubblicitari in grado di sfruttare i diritti di “super-user” hanno rappresentato la minaccia numero uno per gli utenti mobile. La scoperta del network multistadio che promuove Ztorg indica che questa tendenza è ancora in evoluzione. Sono state, infatti, caricate nuove applicazioni su Google Play a maggio 2017 e ci aspettiamo di vedere nuovi sviluppi.
