Experții Kaspersky Lab au descoperit aplicații Ztorg în magazinul Google Play, ceea ce pare un indiciu că infractorii încearcă diverse metode de a trece de setările de securitate cu programele lor malware – în acest caz, instalând codul malware în etape și ascunzând un troian care trimite SMS-uri într-unul care încearcă să controleze telefonul.
Atacatorii au folosit troianul SMS ca să câștige bani de la victime prin SMS-uri trimise la numere cu suprataxă, în timp ce așteptau să instaleze troianul capabil să obțină drepturi de administrator. Aplicațiile au fost descărcate de peste 50.000 de ori de la jumătatea lunii mai 2017, dar acum au fost eliminate din Google Play.
Eforturile infractorilor cibernetici de a infecta dispozitivele Android cu malware Ztorg prin intermediul magazinului Google Play nu par să contenească, aceștia adaptându-și constant instrumentele și tehnicile pentru a nu fi descoperiți. În mai 2017, cercetătorii Kaspersky Lab au descoperit un troian SMS, care părea o variantă Ztorg de sine stătătoare. La o examinare mai atentă, s-a dovedit că acesta conține, criptat, un troian Ztorg cu capacitatea de a obține drepturi de administrator. Ztorg SMS a fost descoperit în două aplicații, un browser și o aplicație ”de detectare a zgomotului”.
Aplicația de browser, care a fost descărcată de 50.000 de ori, a fost încărcată pe Google Play pe 15 mai și nu a fost actualizată niciodată, probabil pentru că a urmărit să testeze dacă lanul funcționa.
Cercetătorii au reușit să facă un studiu mai detaliat asupra aplicației ”detecție de zgomot”, încărcată pe 20 mai și instalată de peste 10.000 de ori, înainte de a fi ștearsă de Google.
Analiza lor sugerează că scopul final al infractorilor a fost să folosească o versiune obișnuită a troianului Ztorg. Totuși, pentru că optaseră pentru o abordare pas cu pas, cu o serie de actualizări neinfectate, apoi cu unele cu malware, au adăugat o funcționalitate suplimentară pentru a face bani în timp ce așteptau să lanseze malware-ul capabil să obțină drepturi de administrator.
Ztorg SMS permite aplicației să trimită SMS-uri la numere cu suprataxă, să șteargă mesajele pe cale să fie primite și să dezactiveze sunetul.
”Troianul Ztorg continuă să apară în magazinul Google Play, cu noi trucuri pentru a evita măsurile de securitate și a infecta cât mai multe dispozitive Android și versiuni OS posibile”, spune Roman Unuchek, Senior Malware Analyst la Kaspersky Lab. “Chiar dacă o victimă descarcă o aplicație neinfectată, nu există nicio garanție că aceasta va mai fi ”curată” în câteva zile. Utilizatorii, reprezentanții Google și cercetătorii în securitate trebuie să fie vigilenți mereu și proactivi, atunci când vine vorba de protecție. ”
Kaspersky Lab le recomandă utilizatorilor să instaleze pe dispozitivele lor o soluție de securitate de încredere, precum Kaspersky Internet Security for Android, să verifice întotdeauna dacă aplicațiile au fost realizate de dezvoltatori cunoscuți, să își mențină sistemele de operare și aplicațiile actualizate și să nu descarce nimic care arată suspect sau a cărui sursă nu poate fi verificată.
