Eksperci z Kaspersky Lab wykryli w sklepie Google Play trojana Ztorg, który wydaje się świadczyć o tym, że cyberprzestępcy sprawdzają różne sposoby pozwalające ich szkodliwemu oprogramowaniu prześlizgnąć się przez ochronę. Atakujący instalują szkodliwy kod etapami i umieszczają trojana SMS na wierzchu zaszyfrowanego szkodliwego programu, który uzyskuje dostęp do urządzenia mobilnego na poziomie administratora. Trojan SMS jest wykorzystywany do wyłudzania pieniędzy od ofiar poprzez wysyłanie wiadomości na numery premium, a w międzyczasie następuje uruchomienie zaszyfrowanego kodu. Od połowy maja 2017 r. aplikacje te zostały pobrane ponad 50 000 razy. Zostały już usunięte ze sklepu Google Play.
Determinacja cyberprzestępców, aby infekować urządzenia z systemem Android szkodliwym oprogramowaniem Ztorg za pośrednictwem sklepu Google Play, z pewnością nie słabnie, a atakujący nieustannie dostosowują swoje narzędzia i techniki w celu uniknięcia wykrycia. W maju 2017 r. badacze z Kaspersky Lab wykryli szkodnika, który wyglądał jak autonomiczny wariant Ztorga – trojana wysyłającego wiadomości SMS na numery o podwyższonej opłacie. Po dokładniejszym zbadaniu okazało się, że szkodnik ten zawierał zaszyfrowanego trojana uzyskującego dostęp do urządzenia mobilnego na poziomie administratora. SMS-owa odmiana Ztorga została zidentyfikowana w dwóch aplikacjach: przeglądarce („Magic Browser”) oraz aplikacji mierzącej szum otoczenia („Noise Detector”).
Przeglądarka, którą pobrano 50 000 razy, została umieszczona w sklepie Google Play 15 maja i nigdy nie została uaktualniona – być może dlatego, że był to sprawdzian działania funkcjonalności.
Badacze przeprowadzili dokładniejsze badanie aplikacji mierzącej szum, która pojawiła się w sklepie 20 maja. Zanim została usunięta przez Google, zainstalowano ją ponad 10 000 razy. Wyniki analizy sugerują, że ostatecznym celem cyberprzestępców było wykonanie wersji trojana Ztorg, która pozwala na uzyskanie dostępu do urządzenia mobilnego na poziomie administratora. Ponieważ jednak wybrali podejście wieloetapowe, obejmujące serię czystych, a następnie szkodliwych aktualizacji, dodali uzupełniające szkodliwe funkcje służące do zarabiania pieniędzy (poprzez wysyłanie SMS-ów), czekając na uruchomienie właściwego szkodliwego narzędzia.
Trojan Ztorg nadal pojawia się w sklepie Google Play, wyposażony w nowe sztuczki umożliwiające obejście ochrony i zainfekowanie możliwie największej liczby różnych urządzeń z Androidem. Nawet jeśli ofiara pobierze czystą aplikację, nie ma żadnej gwarancji, że za kilka dni ten sam program nie będzie już zainfekowany. Użytkownicy, pracownicy firmy Google i badacze bezpieczeństwa muszą być nieustannie czujni i proaktywni wobec ochrony – powiedział Roman Unuchek, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.
Kaspersky Lab zaleca użytkownikom, aby zainstalowali na swoim urządzeniu niezawodne rozwiązanie bezpieczeństwa, zawsze sprawdzali, czy aplikacje zostały stworzone przez cieszącego się dobrą reputacją twórcę, aktualizowali swoje systemy operacyjne i aplikacje oraz nie pobierali niczego, co w jakikolwiek sposób wygląda podejrzanie lub nie można zweryfikować jego źródła.
Szczegóły techniczne dotyczące trojana Ztorg są dostępne na stronie https://kas.pr/v469.
Źródło: Kaspersky Lab