Badacze z Kaspersky Lab wykryli działającą sieć, która promuje aplikacje zainfekowane trojanem Ztorg za pośrednictwem kampanii reklamowych. Wyrafinowany botnet reklamowy zainfekował setki tysięcy urządzeń mobilnych z systemem Android szkodliwym oprogramowaniem, które pozwala atakującym na generowanie zysku poprzez wyświetlanie reklam, ukradkowe instalowanie oprogramowania, a nawet zakup nowych aplikacji. Kampanie te są skutecznie prowadzane od ponad roku, wykorzystując jak dotąd niemal 100 różnych zainfekowanych programów.
W cyberprzestrzeni działa wiele botnetów (czyli sieci zainfekowanych urządzeń), a większość z nich ma za zadanie zarabiać pieniądze dla cyberprzestępców. Sieci takie są często wykorzystywane w oszustwach reklamowych - atakujący infekują urządzenia użytkowników szkodliwym oprogramowaniem, które generuje wyświetlenia i kliknięcia w sklepie z aplikacjami, celem instalowania lub kupowania nowych programów, co z kolei przynosi zysk twórcom danego botnetu. Autorzy Ztorga wykorzystali ten klasyczny mechanizm i wynieśli go na nowy poziom.
Sam Ztorg jest wyrafinowanym trojanem o architekturze modułowej. Natychmiast po instalacji szkodnik łączy się ze swoim serwerem kontroli oraz przesyłanie danych dotyczących zainfekowanego sprzętu, łącznie z państwem, językiem, modelem urządzenia oraz wersją systemu operacyjnego. Po przesłaniu wszystkich danych Ztorg pobiera dodatkowy moduł, który stosuje kilka pakietów exploitów (narzędzia wykorzystujące luki w zabezpieczeniach) w celu uzyskania przywilejów na poziomie administratora zainfekowanego urządzenia. Takie uprawnienia pozwalają trojanowi na długotrwałe przetrwanie na urządzeniu i realizowanie celów zamierzonych przez atakujących, czyli wyświetlanie użytkownikom niechcianych reklam oraz ukradkowe instalowanie dodatkowych aplikacji.
Ztorg jest dystrybuowany na dwa sposoby. Po pierwsze, cyberprzestępcy wykupują ruch w co najmniej czterech popularnych legalnych sieciach reklamowych w celu promowania zainfekowanych programów. Warto zauważyć, że dodatkowe moduły Ztorga wyświetlają reklamy z tych sieci. Po infekcji - za sprawą zainstalowanego trojana - ofiary oglądają jeszcze więcej reklam z tej samej sieci.
Drugim sposobem dystrybucji Ztorga jest wykorzystywanie aplikacji, które płacą użytkownikom za instalowanie innych programów ze Sklepu Play firmy Google. Stawka za instalację aplikacji zainfekowanej trojanem Ztorg wynosi około 4-5 centów. Podczas gdy użytkownicy otrzymują symboliczne wynagrodzenie, ich urządzenia zmieniają się w maszyny zombie, wyświetlając niechciane reklamy, z których cyberprzestępcy czerpią zysk.
Jeśli urządzenie zostało już zainfekowane, najlepszym sposobem na usunięcie szkodnika jest wykonanie kopii zapasowej wszystkich danych osobistych oraz przywrócenie urządzenia do stanu fabrycznego.
Przed zainstalowaniem oprogramowania warto sprawdzić, czy zostało ono stworzona przez wiarygodnego twórcę i czy aplikacja pochodzi ze zweryfikowanego bezpiecznego źródła.
Źródło tekstu: Kaspersky Lab
