Botnet Ztorg já infetou um milhão de dispositivos móveis
A Kaspersky Lab descobriu uma rede de grande escala que promove aplicações infectadas com o trojan Ztorg através de campanhas de publicidade. As campanhas estão em vigor há mais de um ano, com quase 100 programas comprometidos com um total de 1.000.000 de de instalações.
O botnet de anúncios compromete os dispositivos com um malware que gera visualizações de anúncios e instala ou compra novas apps no Google Play, gerando lucros para o seu criador. Os distribuidores do Ztorg exploraram este processo clássico mas numa dimensão nunca antes vista, afirmam os analistas da Kaspersky.
O Ztorg é um trojan muito sofisticado, com arquitetura modular, cuja primeira ação depois de ser instalado é ligar-se ao servidor de comando e controle e transmitir os dados do dispositivo, incluindo o modelo do dispositivo e a versão do sistema operativo. Em seguida, o botnet faz o download de um segundo módulo adicional, que usa vários pacotes de exploits para obter privilégios raiz no dispositivo infectado e exibir anúncios não solicitados ou instalar aplicações.
De acordo com os investigadores da empresa de cibersegurança, o Ztorg é distribuído de duas formas. A primeira é que os criminosos compram tráfego de pelo menos quatro redes de publicidade legais conhecidas para promover programas comprometidos. A segunda maneira é via aplicações que oferecem por exemplo 0,05 dólares aos utilizadores para instalar outros programas do Google Play.
“Durante todo o ano de 2016, os trojans de publicidade, capazes de explorar direitos de superutilizador, foram a ameaça mais importante para os utilizadores de dispositivos móveis. A rede em vários estágios que promove o Ztorg indica que essa tendência ainda está em evolução. Aplicações muito recentes foram carregadas no Google Play em abril de 2017, e esperamos ver mais desse tipo em breve”, indica Roman Unuchek, analista sénior de malware da Kaspersky Lab.
A empresa aconselha a instalação de uma solução de segurança de confiança nos dispositivos, assim como a verificação do criador das aplicações, se é uma empresa fidedigna ou não, e a manter o SO e todas apps actualizadas. Se o dispositivo estiver infectado, o procedimento recomendado para remover o malware de rooting é fazer backup de todos os dados e restaurar as configurações de origem do equipamento.