Data: Piątek, 2 czerwca 2017, 17:24

Botnet Ztorg: niemal milion urządzeń mobilnych zainfekowanych w ciągu roku

Wyrafinowany botnet reklamowy zainfekował setki tysięcy urządzeń mobilnych z systemem Android szkodliwym oprogramowaniem, które pozwala atakującym na generowanie zysku poprzez wyświetlanie reklam, ukradkowe instalowanie oprogramowania, a nawet zakup nowych aplikacji. Kampanie te są skutecznie prowadzane od ponad roku, wykorzystując jak dotąd niemal 100 różnych zainfekowanych programów.

W cyberprzestrzeni działa wiele botnetów (czyli sieci zainfekowanych urządzeń), a większość z nich ma za zadanie zarabiać pieniądze dla cyberprzestępców. Sieci takie są często wykorzystywane w oszustwach reklamowych – atakujący infekują urządzenia użytkowników szkodliwym oprogramowaniem, które generuje wyświetlenia i kliknięcia w sklepie z aplikacjami, celem instalowania lub kupowania nowych programów, co z kolei przynosi zysk twórcom danego botnetu. Autorzy Ztorga wykorzystali ten klasyczny mechanizm i wynieśli go na nowy poziom.

Sam Ztorg jest bardzo wyrafinowanym trojanem o architekturze modułowej. Natychmiast po instalacji szkodnik łączy się ze swoim serwerem kontroli oraz przesyłanie danych dotyczących zainfekowanego sprzętu, łącznie z państwem, językiem, modelem urządzenia oraz wersją systemu operacyjnego. Po przesłaniu wszystkich danych Ztorg pobiera dodatkowy moduł, który stosuje kilka pakietów exploitów (narzędzia wykorzystujące luki w zabezpieczeniach) w celu uzyskania przywilejów na poziomie administratora zainfekowanego urządzenia. Takie uprawnienia pozwalają trojanowi na długotrwałe przetrwanie na urządzeniu i realizowanie celów zamierzonych przez atakujących, czyli wyświetlanie użytkownikom niechcianych reklam oraz ukradkowe instalowanie dodatkowych aplikacji.

Według badaczy z Kaspersky Lab, Ztorg jest dystrybuowany na dwa sposoby. Po pierwsze, cyberprzestępcy wykupują ruch w co najmniej czterech popularnych legalnych sieciach reklamowych w celu promowania zainfekowanych programów. Warto zauważyć, że dodatkowe moduły Ztorga wyświetlają reklamy z tych sieci. To prowadzi do nasilenia efektywności promocji – urządzenia użytkowników zostają zainfekowane za pośrednictwem szkodliwych reklam z sieci reklamowej, a po infekcji – za sprawą zainstalowanego trojana – ofiary oglądają jeszcze więcej reklam z tej samej sieci.

Drugim sposobem dystrybucji Ztorga jest wykorzystywanie aplikacji, które płacą użytkownikom za instalowanie innych programów ze Sklepu Play firmy Google. Stawka za instalację aplikacji zainfekowanej trojanem Ztorg wynosi około 4-5 centów. Podczas gdy użytkownicy otrzymują symboliczne wynagrodzenie, ich urządzenia zmieniają się w maszyny zombie, wyświetlając niechciane reklamy, z których cyberprzestępcy czerpią zysk.