I ricercatori di Kaspersky Lab hanno scoperto un network su larga scala che promuove applicazioni infettate dal trojan Ztorg attraverso campagne pubblicitarie. La sofisticata botnet pubblicitaria, che ha come scopo quello di far guadagnare denaro ai suoi autori, ha compromesso centinaia di migliaia di dispositivi con un malware che genera visite per annunci pubblicitari e l’installazione o l’acquisto involontario di nuove applicazioni.

Le campagne sono operative da più di un anno e fino ad oggi hanno compromesso quasi 100 programmi. La maggior parte di queste campagne ha riscosso molto successo e ha registrato una crescita esplosiva – da 10 a 10.000 installazioni in un solo giorno. Infatti, il primo esempio di trojan rilevato aveva più di un milione di installazioni.

Ci sono molte botnet nel cyberspazio e la maggior parte di esse esiste allo scopo di far guadagnare denaro. Le botnet sono spesso incentrate su frodi pubblicitarie: i cybercriminali compromettono i dispositivi degli utenti con malware che generano visualizzazioni degli annunci e accessi a Google Play per installare o acquistare nuove applicazioni, garantendo così un profitto all’autore della botnet. I distributori di Ztorg hanno sfruttato questo processo già noto rendendolo semplicemente più efficace.

Ztorg è un trojan molto sofisticato con architettura modulare. Appena installato, si connette al server di comando e controllo e carica i dati relativi al dispositivo, inclusi il paese, la lingua, il modello di periferica e la versione del sistema operativo.

trojan Ztorg

Una volta caricati tutti i dati, Ztorg scarica un secondo modulo aggiuntivo che utilizza diversi pacchetti di exploit per ottenere i privilegi di root su un dispositivo infetto. Questi diritti permettono al trojan di agire in modo continuativo sul dispositivo, mostrando all’utente annunci non richiesti, distribuendo annunci in modo più aggressivo e installando in modo discreto nuove applicazioni.

Secondo i ricercatori di Kaspersky Lab, il trojan Ztorg viene distribuito in due modi. Innanzitutto, i criminali informatici acquisiscono traffico da almeno quattro network legali di adv molto popolari allo scopo di promuovere i programmi dannosi. I moduli aggiuntivi di Ztorg rendono visibili gli annunci pubblicitari attraverso questi network con lo scopo di ottenere la ricorsività della promozione, ovvero una volta che l’utente è stato infettato da un annuncio dannoso, continuerà a visualizzare sempre più annunci provenienti dallo stesso network a causa del trojan installato.

Il secondo modo di distribuire Ztorg è tramite applicazioni che pagano gli utenti per installare altri programmi da Google Play. Queste applicazioni offrono 0,04-0,05 centesimi di dollari per l’installazione di un’applicazione compromessa da Ztorg. Gli utenti ricevono come premio pochi centesimi e i loro dispositivi vanno in modalità “zombie”, mostrando annunci indesiderati a beneficio dei cybercriminali.

“Nel corso del 2016 i trojan pubblicitari in grado di sfruttare i diritti di “super-user” hanno rappresentato la minaccia numero uno per gli utenti mobile. La scoperta del network multistadio che promuove Ztorg indica che questa tendenza è ancora in evoluzione. Sono state, infatti, caricate nuove applicazioni su Google Play a maggio 2017 e ci aspettiamo di vedere nuovi sviluppi” ha commentato conclude Morten Lehn, General Manager Italy di Kaspersky Lab.