Ci sono molte botnet nel cyberspazio e la maggior parte di esse esiste allo scopo di far guadagnare denaro. Le botnet sono spesso incentrate su frodi pubblicitarie: i cybercriminali compromettono i dispositivi degli utenti con malware che generano visualizzazioni degli annunci e accessi a Google Play per installare o acquistare nuove applicazioni, garantendo così un profitto all’autore della botnet. I distributori di Ztorg hanno sfruttato questo processo già noto rendendolo semplicemente più efficace.

Ztorg è un Trojan molto sofisticato con architettura modulare. Appena installato si connette al server di comando e controllo e carica i dati relativi al dispositivo, inclusi il paese, la lingua, il modello di periferica e la versione del sistema operativo. Una volta caricati tutti i dati, Ztorg scarica un secondo modulo aggiuntivo che utilizza diversi pacchetti di exploit per ottenere i privilegi di root su un dispositivo infetto. Questi diritti permettono al Trojan di agire in modo continuativo sul dispositivo, mostrando all’utente annunci non richiesti, distribuendo annunci in modo più aggressivo e installando in modo discreto nuove applicazioni.

Secondo i ricercatori di Kaspersky Lab, Ztorg viene distribuito in due modi. Innanzitutto, i criminali informatici acquisiscono traffico da almeno quattro network legali di adv molto popolari allo scopo di promuovere i programmi dannosi. I moduli aggiuntivi di Ztorg rendono visibili gli annunci pubblicitari attraverso questi network con lo scopo di ottenere la ricorsività della promozione, ovvero una volta che l’utente è stato infettato da un annuncio dannoso, continuerà a visualizzare sempre più annunci provenienti dallo stesso network a causa del Trojan installato.

Il secondo modo di distribuire Ztorg è tramite applicazioni che pagano gli utenti per installare altri programmi da Google Play. Queste applicazioni offrono agli utenti 0,04-0,05 centesimi di dollari per l’installazione di un’applicazione compromessa da Ztorg: gli utenti ricevono come premio pochi centesimi e i loro dispositivi vanno in modalità “zombie”, mostrando annunci indesiderati a beneficio dei cybercriminali.

“Nel corso del 2016, i Trojan pubblicitari in grado di sfruttare i diritti di “super-user” hanno rappresentato la minaccia numero uno per gli utenti mobile. La scoperta del network multistadio che promuove Ztorg indica che questa tendenza è ancora in evoluzione. Sono state, infatti, caricate nuove applicazioni su Google Play a maggio 2017 e ci aspettiamo di vedere nuovi sviluppi”, conclude Morten Lehn, General Manager Italy di Kaspersky Lab.

Commenti

commenti

CONDIVIDI