Ztorg botnet mreža u usponu: više od milion kompromitovanih uređaja za godinu dana

Istraživači iz kompanije Kaspersky Lab otkrili su veliku botnet mrežu koja promoviše aplikacije inficirane Ztorg Trojan virusom preko reklamnih kampanja. Sofisticirana reklamna botnet mreža kompromitovala je stotine hiljada uređaja malverom koji generiše preglede za reklame, sprovodi diskretnu instalaciju pa čak i kupovinu novih aplikacija, čime stvara novčanu dobit za kreatore. Kampanja je aktuelna skoro godinu dana i do sada je kompromitovala skoro 100 programa. Većina njih je bila veoma popularna i ostvarila je vrtoglav rast, od 10 do 10 hiljada instalacija u samo jednom danu. Zapravo, prvi primer Trojan virusa koji je otkriven imao je preko milion instalacija.

Postoji veliki broj botnet mreža u sajber svetu i većina njih je kreirana sa ciljem da donese finansijsku dobit. Botnet mreže se često fokusiraju na reklamne prevare – sajber kriminalci kompromituju korisničke uređaje malverom koji obezbeđuje preglede reklama i klikove na Google Play prodavnicu radi instaliranja i kupovine novih aplikacija, sa ciljem da kretorima mreže donese zaradu. Distributeri Ztorg virusa su iskoristili ovaj isproban recept i podigli ga na viši nivo.

Kaspersky

Ztorg virus je sam po sebi veoma sofisticiran Trojan sa modularnom arhitekturom. Prva stvar koju radi nakon instalacije jeste povezivanje sa komandnim i kontrolnim serverom i postavljanje informacija o uređaju, uključujući zemlju, jezik, model uređaja i verziju operativnog sistema. Nakon što su svi podaci postavljeni, Ztorg preuzima drugi, dodatni modul, koji koristi nekoliko ranjivosti kako bi dobio „root“ privilegije na inficiranom uređaju.

Ova prava omogućuju Trojan virusu da konstantno bude aktivan na uređaju, prikazuje neželjene reklame na agresivan način, kao i da diskretno instalira nove aplikacije. Prema istraživačima iz kompanije Kaspersky Lab, napadači distribuiraju Ztorg na dva načina. Prvo, sajber kriminalci kupuju saobraćaj sa makar četiri popularne i legalne mreže za reklamiranje kako bi promovisali kompromitovane programe. Treba napomenuti da dodatni moduli Ztorg virusa prikazuju reklame sa ovih mreža. Usled toga se promocija ponovo događa – korisnici su kompromitovani zbog malicioznih reklama sa mreža za reklamiranje i, nakon infekcije, oni vide još veći broj reklama sa iste mreže zbog instaliranog Trojan virusa.

Drugi način za distribuciju Ztorg virusa je preko aplikacija koje plaćaju korisnicima da instaliraju druge programe sa Google Play prodavnice. Korisnicima nude 0,04-0,05 američkih dolara za instaliranje aplikacije inficirane Ztorg virusom. I dok korisnici dobiju nagradu u vidu nekoliko centi, njihovu uređaju ulaze u „zombi“ režim i prikazuju neželjene reklame kako bi sajber kriminalci ostvarili zaradu.

„Tokom 2016. godine, reklamni Trojan virusi koji su imali sposobnost da iskoriste „SuperUser“ privilegije bili su najveća pretnja po korisnike mobilnih uređaja. Višeslojna botnet mreža na kojoj je promovisan Ztorg ukazuje na činjenicu da se ovaj trend i dalje razvija. Neke od aplikacija su postavljene na Google Play prodavnicu u maju 2017. godine, i očekujemo da vidimo još ovakvih primera”, zaključio je Roman Unuček (Roman Unuchek), viši malver analitičar u kompaniji Kaspersky Lab u SAD.