El sofisticado botnet de anuncios ha afectado cientos de miles de dispositivos con un malware que genera vistas de anuncios publicitarios.
Los investigadores de Kaspersky Lab han descubierto una red de gran escala que promueve aplicaciones infectadas con el troyano Ztorg mediante campañas publicitarias. El sofisticado botnet de anuncios ha afectado cientos de miles de dispositivos con un malware que genera vistas de anuncios publicitarios, instalación discreta o incluso la compra de nuevas aplicaciones, lo que produce dinero a sus autores. Las campañas han sido eficaces durante más de un año y a la fecha hay casi 100 programas afectados. La mayoría de ellos eran muy populares y experimentaron un crecimiento explosivo, desde 10 a 10,000 instalaciones en un solo día. De hecho, la primera muestra descubierta del troyano tenía más de un millón de instalaciones.
Hay numerosos botnets en el ciberespacio, la mayoría de ellos existen para ganar dinero y se centran a menudo en el fraude publicitario: los ciberdelincuentes comprometen los dispositivos de los usuarios con malware que proporciona vistas de anuncios y clics en Google Play para instalar o comprar nuevas aplicaciones, todo lo cual genera beneficios para el autor del botnet. Los distribuidores de Ztorg han explotado este proceso clásico y lo han llevado a otros niveles.
Ztorg en sí es un troyano muy sofisticado con arquitectura de módulo. Lo primero que hace después de la instalación, es conectarse a su servidor de mando y control y cargar datos acerca del dispositivo; entre ellos el país, el idioma, el modelo de dispositivo y la versión del sistema operativo. Una vez que se cargan todos los datos, Ztorg descarga un segundo módulo, adicional, que utiliza varios paquetes de ataques para obtener privilegios de root en el dispositivo infectado. Estos derechos permiten al troyano actuar de forma persistente en el dispositivo, mostrando así anuncios no solicitados por el usuario, distribuyendo anuncios de forma más agresiva e instalando discretamente aplicaciones de noticias.
Según los investigadores de Kaspersky Lab, Ztorg se distribuye de dos maneras. En primer lugar, los ciberdelincuentes compran tráfico de por lo menos cuatro redes populares de publicidad legal para promover programas comprometidos. Es importante señalar que los módulos adicionales de Ztorg muestran anuncios de estas redes. Esto conduce a la recurrencia de la promoción –los usuarios se ven afectados debido a los anuncios maliciosos de una red publicitaria y, después de la infección, ven aún más anuncios de la misma red debido al troyano instalado.
La segunda forma en que Ztorg se distribuye es mediante aplicaciones que pagan a los usuarios por instalar otros programas de Google Play. Estos ofrecen a los usuarios entre cuatro y cinco centavos de dólar por instalar una aplicación infectada con Ztorg. Mientras los usuarios obtienen su recompensa por pocos centavos, sus dispositivos entran en modo “zombi”, mostrando así anuncios no deseados para beneficio de los ciberdelincuentes.
“Durante todo el 2016, los troyanos publicitarios capaces de atacar los derechos de superusuario eran la principal amenaza para los usuarios móviles. La red de varias etapas que se ha descubierto al promover Ztorg indica que esta tendencia sigue evolucionando. Las aplicaciones más recientes se subieron a Google Play en abril de 2017 y pronto esperamos ver más de su tipo”, concluye Roman Unuchek, analista sénior de malware en Kaspersky Lab.
Para obtener más información sobre el bonet Ztorg, por favor lea el artículo disponible en Securelist: https://securelist.com/analysis/publications/78325/ztorg-money-for-infecting-your-smartphone/