Os pesquisadores da Kaspersky Lab descobriram uma rede de grande escala que promove aplicativos infectados com o cavalo de Troia Ztorg por meio de campanhas de publicidade. A sofisticada botnet de anúncios comprometeu centenas de milhares de dispositivos com um malware que gera visualizações de anúncios, a instalação discreta ou até a compra de novos aplicativos, gerando receita para seus criadores. As campanhas estão em vigor há mais de um ano, com quase 100 programas comprometidos até o momento. A maioria deles já foi muito popular e teve um crescimento enorme – de 10 a 10.000 instalação em apenas um dia. Na verdade, a primeira amostra do cavalo de Troia descoberta teve mais de 1.000.000 de instalações.
Existem muitas botnets no ciberespaço, e a maioria tem como objetivo ganhar dinheiro. Muitas vezes, as botnets focam fraudes publicitárias: os criminosos virtuais comprometem os dispositivos dos usuários com um malware que exibe anúncios e realizam cliques no Google Play para instalar ou comprar novos aplicativos, gerando lucros para o criador da botnet. Os distribuidores do Ztorg exploraram esse processo clássico e o levaram a uma nova dimensão.
Ameaça persistente
O próprio Ztorg é um cavalo de Troia muito sofisticado, com arquitetura modular. Sua primeira ação depois de ser instalado é se conectar ao servidor de comando e controle e carregar dados sobre o dispositivo, incluindo país, idioma, modelo do dispositivo e versão do sistema operacional. Depois que todos os dados são carregados, o Ztorg baixa um segundo módulo adicional, que usa vários pacotes de exploits para obter privilégios raiz no dispositivo infectado. Com esses direitos, o cavalo de Troia consegue atuar no dispositivo de maneira persistente, exibindo anúncios não solicitados para o usuário, veiculando anúncios de modo mais agressivo e instalando novos aplicativos discretamente.
De acordo com os pesquisadores da Kaspersky Lab, o Ztorg é distribuído de duas formas. Primeiro, os criminosos virtuais compram tráfego de pelo menos quatro redes de publicidade legais conhecidas para promover programas comprometidos. Vale notar que os módulos adicionais do Ztorg mostram anúncios dessas redes. Isso leva à recursão da promoção – os usuários são comprometidos devido a anúncios maliciosos de uma rede de publicidade e, após a infecção, recebem um número ainda maior de anúncios da mesma rede, por causa do cavalo de Troia instalado.
O segundo modo de distribuição do Ztorg é via aplicativos que pagam os usuários para instalar outros programas do Google Play. Os usuários recebem uma oferta de US$ 0,04-0,05 para instalar um aplicativo infectado com o Ztorg. Embora recebam seu prêmio de alguns centavos, seus dispositivos entram no mobo zumbi, exibindo anúncios indesejados que beneficiam os criminosos virtuais.
“Durante todo o ano de 2016, os cavalos de Troia de publicidade, capazes de explorar direitos de superusuário, foram a ameaça mais importante para os usuários de dispositivos móveis. A rede em vários estágios que promove o Ztorg indica que essa tendência ainda está em evolução. Aplicativos muito recentes foram carregados no Google Play em abril de 2017, e esperamos ver mais desse tipo em breve”, conclui Roman Unuchek, analista sênior de malware da Kaspersky Lab.