Analistas de Kaspersky Lab han descubierto una red de gran tamaño que, mediante campañas de publicidad, distribuye aplicaciones infectadas con el troyano Ztorg.
- Más de un millón de dispositivos móviles se han visto afectados en apenas un año
- Los cibercriminales construyen un enorme botnet para hacer caja con publicidad agresiva
- Ztorg se distribuye, entre otras formas, usando aplicaciones que pagan a los usuarios por instalar otros programas desde Google Play, entre 0,04 y 0,05 dólares, y sus móviles entran en modo zombi
- Muchos de estos programas han pasado de 10 a 10.000 instalaciones en apenas 24 horas. De hecho, el primer ejemplo de troyano descubierto ha tenido más de 1 millón de instalaciones
Analistas de Kaspersky Lab han descubierto una red de gran tamaño que, mediante campañas de publicidad, distribuye aplicaciones infectadas con el troyano Ztorg. Este sofisticado botnet ya ha afectado a cientos de miles de dispositivos móviles con un malware que muestra anuncios publicitarios, instala de forma discreta nuevas aplicaciones o incluso las compra, generando dinero para sus autores. Las campañas llevan en marcha más de un año, afectando hasta la fecha a más de 100 programas. Muchos de estos programas son muy populares y han tenido un crecimiento explosivo, pasando de 10 a 10.000 instalaciones en apenas 24 horas. De hecho, en el primer ejemplo de troyano descubierto se han detectado más de 1 millón de instalaciones.
En el ciberespacio nos encontramos con muchos botnets y la mayoría tienen en su razón de existir en conseguir dinero. Los botnets se centran en muchas ocasiones en la publicidad fraudulenta, con los cibercriminales comprometiendo los dispositivos de los usuarios con malware que muestra anuncios y hace clic en Google Play para instalar o comprar nuevas aplicaciones, aportando así pingües beneficios a los creadores de los botnets. Los distribuidores de Ztorg han sabido explotar este proceso ya clásico y llevarlo a niveles inusitados.
Ztorg es en sí mismo un troyano muy sofisticado, dotado con una arquitectura modular. Lo primero que hace tras su instalación es conectarse a su servidor C&C y subir datos sobre el dispositivo, incluido país, idioma, modelo de dispositivo y versión de sistema operativo. Una vez que estos datos han sido enviados, procede a la descarga de un segundo componente adicional que utiliza varios elementos para hacerse con privilegios raíces en el dispositivo infectado. Estos derechos permiten al troyano actuar continuamente en el dispositivo, desplegando anuncios no deseados para el usuario, haciendo llegar agresivamente más publicidad e instalando, discretamente, nuevas aplicaciones.
Según los analistas de Kaspersky Lab, Ztorg se distribuye de dos formas. La primera es cuando los cibercriminales compran tráfico originado de al menos cuatro redes legales de publicidad, para así promocionar aquellos programas afectados. Hay que hacer notar que los componentes adicionales de Ztorg muestran anuncios de estas redes. Todo esto lleva a una situación en la que los usuarios se ven afectados por los anuncios de una red de publicidad y, después de la infección, ven todavía más anuncios de la misma red debido al troyano que se ha instalado.
La segunda forma en la que Ztorg se distribuye es usando aplicaciones que pagan a los usuarios por instalar otros programas desde Google Play. Estas ofrecen entre 0,04 y 0,05 dólares por instalar una aplicación infectada con Ztorg. Y al mismo tiempo que los usuarios consiguen hacerse con algunos céntimos como recompensa, sus dispositivos entran en modo zombi, desplegando publicidad no solicitada en beneficio de los cibercriminales.
“En 2016, la primera amenaza para un usuario móvil han sido los troyanos capaces de explotar los derechos de superusuarios. Esta red multigradual que ha sido descubierta promocionando Ztorg, nos muestra que esta tendencia está todavía evolucionando. En mayo de 2017 hemos encontrado nuevas aplicaciones subidas a Google Play, y no nos extrañará ver más casos similares”, comenta Roman Unuchek, analista senior de malware en Kaspersky Lab USA.
Para saber más del botnet Ztorg, puede leer el artículo disponible en Securelist.com.
Aquellos usuarios que tengan que enfrentarse a este troyano, deben instalar en su dispositivo una solución de seguridad fiable, como Kaspersky Internet Security para Android. Adicionalmente, Kaspersky Lab recomienda a los usuarios que siempre comprueben que las aplicaciones han sido creadas por un desarrollador acreditado, que mantengan el software del sistema operativo y las aplicaciones actualizados, y que no descarguen nada que pueda parecer sospechosos o cuya fuente no pueda ser verificada.
