Ένα μεγάλης έκτασης δίκτυο που προωθεί μολυσμένες από το Ztorg trojan εφαρμογές μέσω διαφημιστικών ενεργειών, ανακάλυψαν ερευνητές της Kaspersky Lab. Το εξελιγμένο διαφημιστικό botnet έχει θέσει σε κίνδυνο εκατοντάδες χιλιάδες συσκευές…
…με κακόβουλο λογισμικό που δημιουργεί προβολές για διαφημίσεις, κρυφές εγκαταστάσεις ή ακόμα και αγορά νέων εφαρμογών, παράγοντας έτσι κέρδος για τους δημιουργούς του.
Οι επιθέσεις ήταν αποτελεσματικές για περισσότερο από έναν χρόνο με σχεδόν 100 παραβιασμένα προγράμματα μέχρι σήμερα. Τα περισσότερα από αυτά ήταν αρκετά διαδεδομένα και παρουσίασαν μία εκρηκτική αύξηση – από τις 10 στις 10.000 εγκαταστάσεις μέσα σε μόνο μία ημέρα. Στην πραγματικότητα, το πρώτο δείγμα trojan που ανακαλύφθηκε είχε ξεπεράσει το ένα εκατομμύριο εγκαταστάσεις.
Το Ztorg από μόνο του είναι ένα πολύ εξελιγμένο trojan με ενοποιημένη αρχιτεκτονική. Το πρώτο πράγμα που κάνει αφού εγκατασταθεί, είναι να συνδεθεί σε κάθε διαχειριστικό server και να ανεβάσει δεδομένα για τη συσκευή – συμπεριλαμβάνοντας τη χώρα, τη γλώσσα, το μοντέλο της συσκευής και την έκδοση του λειτουργικού συστήματος. Μόλις έχουν ανεβεί όλα τα δεδομένα, το Ztorg κατεβάζει μία δεύτερη επιπρόσθετη επέκταση που χρησιμοποιεί πολλά πακέτα exploit για να αποκτήσει δικαιώματα root σε μια μολυσμένη συσκευή. Τα δικαιώματα αυτά επιτρέπουν στο Trojan να λειτουργεί συνεχώς στη συσκευή, να προβάλει ανεπιθύμητες διαφημίσεις στο χρήστη, να προβάλει ακόμα πιο επιθετικά διαφημίσεις και να εγκαθιστά διακριτικά άλλες εφαρμογές.
ύμφωνα με τους ερευνητές της Kaspersky Lab, το Ztorg διαδίδεται με δύο τρόπους:
Πρώτον, οι ψηφιακοί εγκληματίες αγοράζουν «κίνηση» από τουλάχιστον τέσσερα δημοφιλή διαφημιστικά δίκτυα για να προωθήσουν τα παραβιασμένα προγράμματα. Αξίζει να σημειωθεί ότι οι πρόσθετες λειτουργίες του Ztorg εμφανίζουν διαφημίσεις από αυτά τα δίκτυα. Αυτό οδηγεί σε επαναληπτική προώθηση – οι χρήστες παραβιάζονται λόγω κακόβουλων διαφημίσεων από ένα διαφημιστικό δίκτυο και, μετά από τη μόλυνση, βλέπουν ακόμα περισσότερες διαφημίσεις από το ίδιο δίκτυο εξαιτίας του εγκατεστημένου προγράμματος Trojan.
Ο δεύτερος τρόπος διανομής του Ztorg είναι μέσω εφαρμογών που πληρώνουν τους χρήστες για την εγκατάσταση άλλων προγραμμάτων από το Google Play. Αυτά προσφέρουν στους χρήστες 4-5 cents για την εγκατάσταση μιας εφαρμογής που έχει μολυνθεί με το Ztorg. Ενώ οι χρήστες παίρνουν την ανταμοιβή των λίγων αυτών cents, οι συσκευές τους μπαίνουν σε λειτουργία ζόμπι, εμφανίζοντας ανεπιθύμητες διαφημίσεις προς όφελος των ψηφιακών εγκληματιών.
Τα botnets συχνά εστιάζουν στη διαφημιστική απάτη. Οι ψηφιακοί εγκληματίες εγκαθιστούν στις συσκευές των χρηστών κακόβουλο λογισμικό που προάγει τις προβολές και τα κλικ σε διαφημίσεις στο Google Play για να εγκαθιστούν ή να αγοράζουν νέες εφαρμογές, με όλα αυτά να αποφέρουν κέρδη στο δημιουργό του botnet.