(Roma, 18 maggio 2017) – I ricercatori di Kaspersky Lab hanno scoperto un network su larga scala che promuove applicazioni infettate da Ztorg Trojan attraverso campagne pubblicitarie. La sofisticata botnet pubblicitaria, che ha come scopo quello di far guadagnare denaro ai suoi autori, ha compromesso centinaia di migliaia di dispositivi con un malware che genera visite per annunci pubblicitari e l’installazione o l’acquisto involontario di nuove applicazioni. Le campagne sono operative da piu’ di un anno e fino ad oggi hanno compromesso quasi 100 programmi. La maggior parte di queste campagne ha riscosso molto successo e ha registrato una crescita esplosiva – da 10 a 10 mila installazioni in un solo giorno. Infatti, il primo esempio di Trojan rilevato aveva piu’ di un milione di installazioni.

Ci sono molte botnet nel cyberspazio e la maggior parte di esse esiste allo scopo di far guadagnare denaro. Le botnet sono spesso incentrate su frodi pubblicitarie: i cybercriminali compromettono i dispositivi degli utenti con malware che generano visualizzazioni degli annunci e accessi a Google Play per installare o acquistare nuove applicazioni, garantendo cosi’ un profitto all’autore della botnet. I distributori di Ztorg hanno sfruttato questo processo gia’ noto rendendolo semplicemente piu’ efficace.

Ztorg e’ un Trojan molto sofisticato con architettura modulare. Appena installato si connette al server di comando e controllo e carica i dati relativi al dispositivo, inclusi il paese, la lingua, il modello di periferica e la versione del sistema operativo. Una volta caricati tutti i dati, Ztorg scarica un secondo modulo aggiuntivo che utilizza diversi pacchetti di exploit per ottenere i privilegi di root su un dispositivo infetto. Questi diritti permettono al Trojan di agire in modo continuativo sul dispositivo, mostrando all’utente annunci non richiesti, distribuendo annunci in modo piu’ aggressivo e installando in modo discreto nuove applicazioni.

Secondo i ricercatori di Kaspersky Lab, Ztorg viene distribuito in due modi. Innanzitutto, i criminali informatici acquisiscono traffico da almeno quattro network legali di adv molto popolari allo scopo di promuovere i programmi dannosi. I moduli aggiuntivi di Ztorg rendono visibili gli annunci pubblicitari attraverso questi network con lo scopo di ottenere la ricorsivita’ della promozione, ovvero una volta che l’utente e’ stato infettato da un annuncio dannoso, continuera’ a visualizzare sempre piu’ annunci provenienti dallo stesso network a causa del Trojan installato.

Il secondo modo di distribuire Ztorg e’ tramite applicazioni che pagano gli utenti per installare altri programmi da Google Play. Queste applicazioni offrono agli utenti 0,04-0,05 centesimi di dollari per l’installazione di un’applicazione compromessa da Ztorg: gli utenti ricevono come premio pochi centesimi e i loro dispositivi vanno in modalita’ ‘zombie – , mostrando annunci indesiderati a beneficio dei cybercriminali.

“Nel corso del 2016, i Trojan pubblicitari in grado di sfruttare i diritti di ‘super-user – hanno rappresentato la minaccia numero uno per gli utenti mobile. La scoperta del network multistadio che promuove Ztorg indica che questa tendenza e’ ancora in evoluzione. Sono state, infatti, caricate nuove applicazioni su Google Play a maggio 2017 e ci aspettiamo di vedere nuovi sviluppi”, conclude Morten Lehn, General Manager Italy di Kaspersky Lab.

Per saperne di piu’ sulla botnet Ztorg e’ possibile leggere il blog post disponibile su Securlist.com

Chi teme di incappare nel Trojan dovrebbero installare sul proprio dispositivo una soluzione di sicurezza affidabile come Kaspersky Internet Security for Android. Inoltre, Kaspersky Lab consiglia agli utenti di verificare sempre che le applicazioni siano state create da un sviluppatore riconosciuto, aggiornare il proprio sistema operativo e il software applicativo e non scaricare nulla che desti sospetti o la cui fonte non possa essere verificata.

(Immediapress – Adnkronos
Immediapress e’ un servizio di diffusione di comunicati stampa in testo originale redatto direttamente dall’ente che lo emette. Padovanews non e’ responsabile per i contenuti dei comunicati trasmessi.)