Trojan Ztorg: vi infetta per 5 centesimi

24 Mag 2017

Tanti annunci pubblicitari su Internet propongono modi facili per fare soldi. Questi annunci tendono a indirizzarvi su siti sospetti (ad esempio, un post di una presunta madre di tre figli che sta a casa e guadagna diverse migliaia di dollari al giorno e che dice che anche voi potete fare la stessa cosa). Ma ci sono anche altri modi per guadagnare soldi in maniera facile che sembrano molto più plausibili.

Don't install apps for moneyAd esempio, alcuni servizi si offrono di pagarvi per installare alcune app. La somma di denaro è di pochi spiccioli (circa 5 centesimi per ogni app) ma il lavoro è abbastanza facile, quindi alcune persone lo trovano addirittura allettante. Questo sistema è abbastanza conosciuto tra i ragazzi (installa 50 app e ottieni 2,50 dollari per comprare qualche attrezzatura per il tuo personaggio preferito di un gioco online).

Lo store delle app di Google Play ha parecchie applicazioni che sono in realtà scambi di app. Ne scaricate una, la installate, vedete una lista di app per cui venite pagati, scaricate un paio di app della lista, le installate, le usate per qualche minuto e guadagnate!

Tutto questo sembra essere alquanto noioso (e legittimo).  In effetti, molti sviluppatori di software danno un grande valore al numero di download delle app e un sistema del genere aumenta quel numero, anche se non è proprio reale. Ecco perché gli sviluppatori sono disposti a pagare per questo. Non sembra che tutto questo sia un problema. O lo è?

Denaro per niente, malware gratuito

Ovviamente il problema c’è, altrimenti perché ne parleremmo? Sembra che, tra le altre cose, questi scambi di app vi invitano a scaricare malware, in particolare il famigerato Trojan Ztorg. Si tratta del Trojan scaricato 500.000 volte da Google Play camuffato da guida per il famoso gioco Pokemon Go.

La guida per Pokemon Go non è l’unica app che contiene Ztorg. Roman Unuchek, l’esperto di Kaspersky Lab che ha scoperto Ztorg nell’app, ha esaminato per diversi mesi le applicazioni diffuse tramite questi scambi. Unuchek ha scoperto che ogni mese apparivano nuove app che in realtà nascondevano Ztorg.

Cosa fa in realtà Ztorg

Tutte queste applicazioni hanno due cose in comune. In primo luogo, il loro numero di download cresce velocemente (decine di migliaia al giorno). In secondo luogo, se cercate le recensioni degli utenti sullo store di Google Play, molti affermano che le persone hanno scaricato quelle app per soldi, crediti, bonus o per qualcosa del genere.

One of Ztorg infected apps in Google Play

Il Trojan Ztorg non è cambiato. Dopo la sua installazione, raccoglie informazioni sul sistema e sul dispositivo e le invia al server command-and-control (C&C). Il server risponde con file che attivano il malware per ottenere l’accesso come root al dispositivo; dopo tutto questo, i criminali sono liberi di fare ciò che vogliono: mostrare annunci pubblicitari, scaricare altri Trojan o fare qualsiasi altra cosa.

Ztorg si diffonde anche tramite annunci pubblicitari. Cliccate su un banner e scaricate l’app, la installate e vi infettate. Molto semplice!

La cosa interessante è che Ztorg mostra alle sue vittime annunci dalle stesse identiche reti da cui si diffonde. Le reti sono legittime: molte altre applicazioni le usano per provare a monetizzarsi. Quello che è accaduto è che i responsabili della sicurezza delle reti non avevano capito di star facendo pubblicità a un malware.

Ad essere sinceri, gli sviluppatori di Ztorg hanno nascosto la funzionalità pericolosa e questa non si nota quando si analizza l’app. Ad esempio, Ztorg valuta il suo ambiente e non si avvia in un sandbox (ambiente di test).

Molti banner che pubblicizzano malware non reindirizzano direttamente alla pagina di download dell’app ma piuttosto rimandano gli utenti ad una pagina che reindirizza ad un’altra pagina e poi a un’altra. Unuchek ne ha contate 27 prima che riuscisse finalmente ad avviare il download. Inoltre, l’app può ritardare il download dei file dannosi dal server C&C fino a 90 minuti (in quel periodo di tempo, un tester avrebbe probabilmente deciso che l’app non stava facendo nulla di pericoloso).

In realtà, le applicazioni pericolose hanno avuto accesso per un anno e mezzo allo store ufficiale di Google Play grazie a questo trucchetto dell’offuscamento. Anche altri Trojan si nascondono lì (abbiamo già parlato dell’argomento, più di una volta), quindi non dovreste fidarvi ciecamente di tutte le applicazioni degli store.

Morale della favola

Come potete evitare di essere vittime di attacchi del genere e di permettere ai criminali di accedere al vostro telefono? Abbiamo due consigli per voi:

  • Scaricate le applicazioni solo da sviluppatori fidati o, meglio, dagli store ufficiali delle app. Potreste continuare a trovare Trojan ma negli store ufficiali sono meno frequenti.
  • Installate una protezione affidabile. Ad esempio, Kaspersky Internet Security per Android è stato a lungo in grado di identificare e neutralizzare Ztorg in qualsiasi forma o applicazione. Se utilizzate la versione gratuita, dovrete ricordarvi di effettuare una scansione di tanto in tanto; le scansioni automatiche sono una funzionalità della versione a pagamento.