Οι ερευνητές της Kaspersky Lab ανακάλυψαν ένα μεγάλης έκτασης δίκτυο που προωθεί «μολυσμένες» από το Ztorg Trojan εφαρμογές μέσω διαφημιστικών ενεργειών.
Το εξελιγμένο διαφημιστικό botnet έχει θέσει σε κίνδυνο εκατοντάδες χιλιάδες συσκευές με κακόβουλο λογισμικό που δημιουργεί προβολές για διαφημίσεις, κρυφές εγκαταστάσεις ή ακόμα και αγορά νέων εφαρμογών, παράγοντας έτσι κέρδος για τους δημιουργούς του. Οι εκστρατείες ήταν αποτελεσματικές για περισσότερο από ένα χρόνο με σχεδόν 100 παραβιασμένα προγράμματα μέχρι σήμερα. Τα περισσότερα από αυτά τα ήταν αρκετά διαδεδομένα και παρουσίασαν μία εκρηκτική αύξηση – από τις 10 στις 10.000 εγκαταστάσεις μέσα σε μόνο μία ημέρα. Στην πραγματικότητα, το πρώτο δείγμα Trojan που ανακαλύφθηκε είχε ξεπεράσει τις 1.000.000 εγκαταστάσεις.
Υπάρχουν πολλά botnets στον κυβερνοχώρο και τα περισσότερα έχουν ως στόχο να κερδίζουν χρήματα. Τα botnets συχνά εστιάζουν στη διαφημιστική απάτη – οι ψηφιακοί εγκληματίες εγκαθιστούν στις συσκευές των χρηστών κακόβουλο λογισμικό που προάγει τις προβολές και τα κλικ σε διαφημίσεις στο Google Play για να εγκαθιστούν ή να αγοράζουν νέες εφαρμογές – με όλα αυτά να αποφέρουν κέρδη στο δημιουργό του botnet. Οι διανομείς του Ztorg έχουν εκμεταλλευτεί αυτήν την κλασσική διαδικασία και μάλιστα την έχουν εκτοξεύσει.
Το Ztorg από μόνο του είναι ένα πολύ εξελιγμένο Trojan με ενοποιημένη αρχιτεκτονική. Το πρώτο πράγμα που κάνει αφού εγκατασταθεί, είναι να συνδεθεί σε κάθε διαχειριστικό server και να ανεβάσει δεδομένα για τη συσκευή – συμπεριλαμβάνοντας τη χώρα, τη γλώσσα, το μοντέλο της συσκευής και την έκδοση του λειτουργικού συστήματος. Μόλις έχουν ανεβεί όλα τα δεδομένα, το Ztorg κατεβάζει μία δεύτερη επιπρόσθετη επέκταση που χρησιμοποιεί πολλά πακέτα exploit για να αποκτήσει δικαιώματα root σε μια «μολυσμένη» συσκευή. Τα δικαιώματα αυτά επιτρέπουν στο Trojan να λειτουργεί συνεχώς στη συσκευή, να προβάλει ανεπιθύμητες διαφημίσεις στο χρήστη, να προβάλει ακόμα πιο επιθετικά διαφημίσεις και να εγκαθιστά διακριτικά ειδησεογραφικές εφαρμογές.
Σύμφωνα με τους ερευνητές της Kaspersky Lab, το Ztorg διαδίδεται με δύο τρόπους. Πρώτον, οι ψηφιακοί εγκληματίες αγοράζουν «κίνηση» από τουλάχιστον τέσσερα δημοφιλή διαφημιστικά δίκτυα για να προωθήσουν τα παραβιασμένα προγράμματα. Αξίζει να σημειωθεί ότι οι πρόσθετες λειτουργίες του Ztorg εμφανίζουν διαφημίσεις από αυτά τα δίκτυα. Αυτό οδηγεί σε επαναληπτική προώθηση - οι χρήστες παραβιάζονται λόγω κακόβουλων διαφημίσεων από ένα διαφημιστικό δίκτυο και, μετά τη «μόλυνση», βλέπουν ακόμα περισσότερες διαφημίσεις από το ίδιο δίκτυο εξαιτίας του εγκατεστημένου προγράμματος Trojan.
Ο δεύτερος τρόπος διανομής του Ztorg είναι μέσω εφαρμογών που πληρώνουν τους χρήστες για την εγκατάσταση άλλων προγραμμάτων από το Google Play. Αυτά προσφέρουν στους χρήστες $0.04-0.05 για την εγκατάσταση μιας εφαρμογής που έχει «μολυνθεί» με το Ztorg. Ενώ οι χρήστες παίρνουν την ανταμοιβή των λίγων αυτών cents, οι συσκευές τους μπαίνουν σε λειτουργία «ζόμπι», εμφανίζοντας ανεπιθύμητες διαφημίσεις προς όφελος των ψηφιακών εγκληματιών.
«Κατά τη διάρκεια του 2016, τα διαφημιστικά Trojans που μπορούσαν να εκμεταλλευτούν τα δικαιώματα super- user ήταν η No. 1 απειλή για τους χρήστες φορητών συσκευών. Το δίκτυο πολλαπλών σταδίων που έχει ανακαλυφθεί για την προώθηση του Ztorg δείχνει ότι αυτή η τάση εξακολουθεί να εξελίσσεται. Πολύ πρόσφατες εφαρμογές έχουν μεταφορτωθεί στο Google Play τον Μάιο του 2017 και αναμένουμε να δούμε σύντομα περισσότερα από αυτές», καταλήγει ο Roman Unuchek, Senior Malware Analyst της Kaspersky Lab USA.