Stručnjaci iz kompanije Kaspersky Lab otkrili su Ztorg aplikacije na Google Play Store platformi koje pokazuju kako sajber kriminalci isprobavaju različite načine na koje njihov malver može zaobići bezbednosna rešenja, u ovom slučaju postepenim instaliranjem malicioznog koda i maskiranjem dekriptovanog rooting trojan malvera unutar trojan SMS poruke. Napadači su koristili trojan SMS da iznude novac od žrtava kroz „premium-rate SMS“, dok su pokušavali da ubace rooting trojan virus u aplikacije.
Aplikacije su preuzete više od 50.000 puta od sredine maja 2017. godine, ali su sada uklonjene sa Google Play Store platforme. Odlučnost sajber kriminalaca da inficiraju Android uređaje Ztorg malverom preko Google Play Store platforme ne pokazuje znake jenjavanja, budući da napadači konstantno prilagođavaju svoje alate i tehnike kako bi izbegli detekciju. U maju 2017. godine, istraživači iz kompanije Kaspersky Lab otkrili su nezavisnu verziju Ztog malvera - Trojan SMS. Dubljim istraživanjem otkriveno je da malver u sebi sadrži dekriptovani Ztorg rooting trojan virus.
Ztorg SMS je otkriven u dve aplikacije, jednom pretraživaču i aplikaciji za detekciju buke (Noise detection). Aplikacija za pretraživač, koja je preuzeta 50.000 puta, postavljena je na Google Play 15. maja i od tada nije ažurirana, verovatno jer je u pitanju bila probna verzija postavljena za ispitivanje funkcionalnosti.
Istraživači su napravili detaljnu studiju o „Noise detection“ aplikaciji, postavljenoj 20. maja i instaliranoj više od 10.000 puta, pre nego što je Google uklonio. Njihovi analitičari smatraju da je krajnji cilj sajber kriminalaca bio da pokrenu regularnu verziju Ztorg Trojan malvera.
Međutim, kako su odlučili da napreduju korak po korak, što uključuje seriju “zdravih”, a potom malicioznih paketa za ažuriranje, ubacili su dodatne maliciozne funkcije kako bi zaradili novac dok čekaju da se rooting malver pokrene.
Ztorg SMS funkcija omogućuje aplikaciji da pošalje „premium rate SMS“ koji briše dolazeći SMS i isključuje zvuk. „Ztorg Trojan nastavlja da se pojavljuje na Google Play Store platformi zajedno sa novim trikovima za izbegavanje zaštite i nastoji da inficira što više različitih Android uređaja i operativnih sistema. Čak i ako žrtva preuzme nešto što je očigledno „zdrava” aplikacija, ne postoji garancija da će ostati „zdrava” i za nekoliko dana. Korisnici, Google i istraživači moraju da budu unapred zaštićeni i ostanu oprezni u svakom trenutku”, izjavio je Roman Unuček (Roman Unuchek), viši malver analitičar u kompaniji Kaspersky Lab.
Kaspersky Lab savetuje korisnike da na svoje uređaje instaliraju pouzdana sigurnosna rešenja, kao što je Kaspersky Internet Security for Android, da uvek proveravaju da li su aplikacije napravili provereni autori, da svoje operativne sisteme i softverske aplikacije redovno ažuriraju i da ne preuzimaju na svoj uređaj ništa što deluje i najmanje sumnjivo ili čiji se izvor ne može pouzdano utvrditi.