Botnet Ztorg: niemal milion urządzeń mobilnych zainfekowanych w ciągu roku
Badacze z Kaspersky Lab wykryli działającą na dużą skalę sieć, która promuje aplikacje zainfekowanetrojanem Ztorg za pośrednictwem kampanii reklamowych. Wyrafinowany botnet reklamowy zainfekował setki tysięcy urządzeń mobilnych z systemem Android szkodliwym oprogramowaniem, które pozwala atakującym na generowanie zysku poprzez wyświetlanie reklam, ukradkowe instalowanie oprogramowania, a nawet zakup nowych aplikacji. Kampanie te są skutecznie prowadzane od ponad roku, wykorzystując jak dotąd niemal 100 różnych zainfekowanych programów.
W cyberprzestrzeni działa wiele botnetów (czyli sieci zainfekowanych urządzeń), a większość z nich ma za zadanie zarabiać pieniądze dla cyberprzestępców. Sieci takie są często wykorzystywane w oszustwach reklamowych – atakujący infekują urządzenia użytkowników szkodliwym oprogramowaniem, które generuje wyświetlenia i kliknięcia w sklepie z aplikacjami, celem instalowania lub kupowania nowych programów, co z kolei przynosi zysk twórcom danego botnetu. Autorzy Ztorga wykorzystali ten klasyczny mechanizm i wynieśli go na nowy poziom.
Sam Ztorg jest bardzo wyrafinowanym trojanem o architekturze modułowej. Natychmiast po instalacji szkodnik łączy się ze swoim serwerem kontroli oraz przesyłanie danych dotyczących zainfekowanego sprzętu, łącznie z państwem, językiem, modelem urządzenia oraz wersją systemu operacyjnego. Po przesłaniu wszystkich danych Ztorg pobiera dodatkowy moduł, który stosuje kilka pakietów exploitów (narzędzia wykorzystujące luki w zabezpieczeniach) w celu uzyskania przywilejów na poziomie administratora zainfekowanego urządzenia. Takie uprawnienia pozwalają trojanowi na długotrwałe przetrwanie na urządzeniu i realizowanie celów zamierzonych przez atakujących, czyli wyświetlanie użytkownikom niechcianych reklam oraz ukradkowe instalowanie dodatkowych aplikacji.
Według badaczy z Kaspersky Lab, Ztorg jest dystrybuowany na dwa sposoby. Po pierwsze, cyberprzestępcy wykupują ruch w co najmniej czterech popularnych legalnych sieciach reklamowych w celu promowania zainfekowanych programów. Warto zauważyć, że dodatkowe moduły Ztorga wyświetlają reklamy z tych sieci. To prowadzi do nasilenia efektywności promocji – urządzenia użytkowników zostają zainfekowane za pośrednictwem szkodliwych reklam z sieci reklamowej, a po infekcji – za sprawą zainstalowanego trojana – ofiary oglądają jeszcze więcej reklam z tej samej sieci.
Drugim sposobem dystrybucji Ztorga jest wykorzystywanie aplikacji, które płacą użytkownikom za instalowanie innych programów ze Sklepu Play firmy Google. Stawka za instalację aplikacji zainfekowanej trojanem Ztorg wynosi około 4-5 centów. Podczas gdy użytkownicy otrzymują symboliczne wynagrodzenie, ich urządzenia zmieniają się w maszyny zombie, wyświetlając niechciane reklamy, z których cyberprzestępcy czerpią zysk.
W 2016 r. trojany reklamowe potrafiące wykorzystywać uprawnienia administratora stanowiły główne zagrożenie dla użytkowników urządzeń mobilnych. Wykryta rozległa sieć promująca trojana Ztorg świadczy o ciągłej ewolucji tego trendu. Najnowsze aplikacje powiązane z tym atakiem zostały umieszczone w Sklepie Play w kwietniu 2017 r., a najprawdopodobniej wkrótce pojawią się kolejne – powiedział Roman Unuchek, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.
Osoby, które obawiają się o to, że ich urządzenia mogą zostać zainfekowane omawianym trojanem, powinny zainstalować na swoim urządzeniu mobilnym skuteczne rozwiązanie bezpieczeństwa, np. Kaspersky Internet Security for Android. Jeśli urządzenie zostało już zainfekowane, najlepszym sposobem na usunięcie szkodnika jest wykonanie kopii zapasowej wszystkich danych osobistych oraz przywrócenie urządzenia do stanu fabrycznego. Ponadto, Kaspersky Lab zaleca użytkownikom, aby zawsze sprawdzali, czy instalowane aplikacje zostały stworzone przez wiarygodnego twórcę, aktualizowali swoje systemy operacyjne oraz oprogramowanie i nie pobierali aplikacji, które wydają się podejrzane lub nie pozwalają na weryfikację wiarygodności ich źródła.
Szczegóły techniczne dotyczące botnetu Ztorg są dostępne na stronie https://kas.pr/gm2y.