La botnet Ztorg compromete a más de un millón de dispositivos al año

Hay muchas botnets en el ciberespacio, y la mayoría buscan ganar dinero a través del fraude publicitario. Los ciberdelincuentes comprometen los dispositivos de los usuarios con malware que proporciona vistas de anuncios y clics en Google Play para instalar o comprar nuevas aplicaciones, todo lo cual genera beneficios para el autor. Los distribuidores de Ztorg han explotado este proceso clásico y lo han llevado a nuevas alturas.

Más sobre Ciberseguridad... Ataques con exploits: de las amenazas diarias a las campañas dirigidas Informe Symantec sobre la seguridad de Internet (ISTR 2017) Informe sobre la responsabilidad de las entidades financieras ante el fraude electrónico Informe global sobre Seguridad de la Información 2016-2017 de EY La paradoja tras la experiencia del usuario con el cripto-ransomware

Ztorg en sí es un troyano muy sofisticado con arquitectura modular. Lo primero que hace después de la instalación es conectarse a su servidor de comando y control y descargar datos sobre el dispositivo, incluyendo el país, el idioma, el modelo de dispositivo y la versión del sistema operativo. Una vez que se cargan todos los datos, Ztorg descarga un segundo módulo adicional que utiliza varios paquetes de exploits para obtener privilegios de root en un dispositivo infectado. Estos derechos permiten al troyano actuar de forma persistente en el dispositivo, mostrando anuncios no solicitados al usuario, distribuyendo anuncios de forma más agresiva e instalando discretamente aplicaciones de noticias.

Según los investigadores de Kaspersky Lab, Ztorg se distribuye de dos maneras. En la primera, los ciberdelincuentes están comprando tráfico de por lo menos cuatro redes de publicidad legal popular para promocionar programas comprometidos. Los usuarios se ven comprometidos debido a los anuncios maliciosos de una red de publicidad y, después de la infección, ven aún más anuncios de la misma red debido al troyano instalado.

La segunda forma en que Ztorg se distribuye es a través de aplicaciones que pagan a los usuarios por instalar otros programas de Google Play. Estos ofrecen a los usuarios entre 0,04 y 0,05 dólares para instalar una aplicación infectada con Ztorg. Mientras que los usuarios obtienen su recompensa de pocos centavos, sus dispositivos entran en modo zombie, mostrando anuncios no deseados para beneficio de los ciberdelincuentes.

La botnet Ztorg cuenta con casi 100 programas comprometidos hasta la fecha. La mayoría de ellos fueron muy populares y experimentaron un crecimiento explosivo, con hasta 10.000 instalaciones en un solo día. De hecho, la primera muestra de malware descubierta tenía más de 1.000.000 de instalaciones.