Ci sono molte botnet nel cyberspazio e la maggior parte di esse esiste allo scopo di far guadagnare denaro. Le botnet sono spesso incentrate su frodi pubblicitarie: i cybercriminali compromettono i dispositivi degli utenti con malware che generano visualizzazioni degli annunci e accessi a Google Play per installare o acquistare nuove applicazioni, garantendo così un profitto all’autore della botnet. I distributori di Ztorg hanno sfruttato questo processo già noto rendendolo semplicemente più efficace.
Ztorg è un Trojan molto sofisticato con architettura modulare. Appena installato si connette al server di comando e controllo e carica i dati relativi al dispositivo, inclusi il paese, la lingua, il modello di periferica e la versione del sistema operativo. Una volta caricati tutti i dati, Ztorg scarica un secondo modulo aggiuntivo che utilizza diversi pacchetti di exploit per ottenere i privilegi di root su un dispositivo infetto. Questi diritti permettono al Trojan di agire in modo continuativo sul dispositivo, mostrando all’utente annunci non richiesti, distribuendo annunci in modo più aggressivo e installando in modo discreto nuove applicazioni.
Secondo i ricercatori di Kaspersky Lab, Ztorg viene distribuito in due modi. Innanzitutto, i criminali informatici acquisiscono traffico da almeno quattro network legali di adv molto popolari allo scopo di promuovere i programmi dannosi. I moduli aggiuntivi di Ztorg rendono visibili gli annunci pubblicitari attraverso questi network con lo scopo di ottenere la ricorsività della promozione, ovvero una volta che l’utente è stato infettato da un annuncio dannoso, continuerà a visualizzare sempre più annunci provenienti dallo stesso network a causa del Trojan installato.
Il secondo modo di distribuire Ztorg è tramite applicazioni che pagano gli utenti per installare altri programmi da Google Play. Queste applicazioni offrono agli utenti 0,04-0,05 centesimi di dollari per l’installazione di un’applicazione compromessa da Ztorg: gli utenti ricevono come premio pochi centesimi e i loro dispositivi vanno in modalità “zombie”, mostrando annunci indesiderati a beneficio dei cybercriminali.
“Nel corso del 2016, i Trojan pubblicitari in grado di sfruttare i diritti di “super-user” hanno rappresentato la minaccia numero uno per gli utenti mobile. La scoperta del network multistadio che promuove Ztorg indica che questa tendenza è ancora in evoluzione. Sono state, infatti, caricate nuove applicazioni su Google Play a maggio 2017 e ci aspettiamo di vedere nuovi sviluppi”, conclude Morten Lehn, General Manager Italy di Kaspersky Lab.
Chi teme di incappare nel Trojan dovrebbero installare sul proprio dispositivo una soluzione di sicurezza affidabile come Kaspersky Internet Security for Android. Inoltre, Kaspersky Lab consiglia agli utenti di verificare sempre che le applicazioni siano state create da un sviluppatore riconosciuto, aggiornare il proprio sistema operativo e il software applicativo e non scaricare nulla che desti sospetti o la cui fonte non possa essere verificata.
