Kaspersky Lab

 

Comunicato Stampa

18.05.2017

Più di un milione di dispositivi compromessi in un anno attraverso campagne pubblicitarie fittizie

I cybercriminali hanno realizzato la botnet Ztorg per trarre profitto dagli annunci pubblicitari

Roma, 18 maggio 2017

I ricercatori di Kaspersky Lab hanno scoperto un network su larga scala che promuove applicazioni infettate da Ztorg Trojan attraverso campagne pubblicitarie. La sofisticata botnet pubblicitaria, che ha come scopo quello di far guadagnare denaro ai suoi autori, ha compromesso centinaia di migliaia di dispositivi con un malware che genera visite per annunci pubblicitari e l’installazione o l’acquisto involontario di nuove applicazioni. Le campagne sono operative da più di un anno e fino ad oggi hanno compromesso quasi 100 programmi. La maggior parte di queste campagne ha riscosso molto successo e ha registrato una crescita esplosiva - da 10 a 10 mila installazioni in un solo giorno. Infatti, il primo esempio di Trojan rilevato aveva più di un milione di installazioni.

 

Ci sono molte botnet nel cyberspazio e la maggior parte di esse esiste allo scopo di far guadagnare denaro. Le botnet sono spesso incentrate su frodi pubblicitarie: i cybercriminali compromettono i dispositivi degli utenti con malware che generano visualizzazioni degli annunci e accessi a Google Play per installare o acquistare nuove applicazioni, garantendo così un profitto all'autore della botnet. I distributori di Ztorg hanno sfruttato questo processo già noto rendendolo semplicemente più efficace.

 

Ztorg è un Trojan molto sofisticato con architettura modulare. Appena installato si connette al server di comando e controllo e carica i dati relativi al dispositivo, inclusi il paese, la lingua, il modello di periferica e la versione del sistema operativo. Una volta caricati tutti i dati, Ztorg scarica un secondo modulo aggiuntivo che utilizza diversi pacchetti di exploit per ottenere i privilegi di root su un dispositivo infetto. Questi diritti permettono al Trojan di agire in modo continuativo sul dispositivo, mostrando all’utente annunci non richiesti, distribuendo annunci in modo più aggressivo e installando in modo discreto nuove applicazioni.

 

Secondo i ricercatori di Kaspersky Lab, Ztorg viene distribuito in due modi. Innanzitutto, i criminali informatici acquisiscono traffico da almeno quattro network legali di adv molto popolari allo scopo di promuovere i programmi dannosi. I moduli aggiuntivi di Ztorg rendono visibili gli annunci pubblicitari attraverso questi network con lo scopo di ottenere la ricorsività della promozione, ovvero una volta che l’utente è stato infettato da un annuncio dannoso, continuerà a visualizzare sempre più annunci provenienti dallo stesso network a causa del Trojan installato.

 

Il secondo modo di distribuire Ztorg è tramite applicazioni che pagano gli utenti per installare altri programmi da Google Play. Queste applicazioni offrono agli utenti 0,04-0,05 centesimi di dollari per l'installazione di un'applicazione compromessa da Ztorg: gli utenti ricevono come premio pochi centesimi e i loro dispositivi vanno in modalità “zombie”, mostrando annunci indesiderati a beneficio dei cybercriminali.

 

"Nel corso del 2016, i Trojan pubblicitari in grado di sfruttare i diritti di “super-user” hanno rappresentato la minaccia numero uno per gli utenti mobile. La scoperta del network multistadio che promuove Ztorg indica che questa tendenza è ancora in evoluzione. Sono state, infatti, caricate nuove applicazioni su Google Play a maggio 2017 e ci aspettiamo di vedere nuovi sviluppi", conclude Morten Lehn, General Manager Italy di Kaspersky Lab.

 

Per saperne di più sulla botnet Ztorg è possibile leggere il blog post disponibile su Securlist.com

 

Chi teme di incappare nel Trojan dovrebbero installare sul proprio dispositivo una soluzione di sicurezza affidabile come Kaspersky Internet Security for Android. Inoltre, Kaspersky Lab consiglia agli utenti di verificare sempre che le applicazioni siano state create da un sviluppatore riconosciuto, aggiornare il proprio sistema operativo e il software applicativo e non scaricare nulla che desti sospetti o la cui fonte non possa essere verificata.

 

Informazioni su Kaspersky Lab

Kaspersky Lab è un’azienda di sicurezza informatica a livello globale che nel 2017 celebra i suoi primi 20 anni di attività. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it

Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/

Seguici su:

https://twitter.com/KasperskyLabIT

http://www.facebook.com/kasperskylabitalia

https://plus.google.com/+KasperskyItKL

https://www.linkedin.com/kasperskylabitalia

 

 

 

Contatto di redazione:

Noesis

      KasperskyLab Italia

Cristina Barelli, Valeria Valenti e Chiara Degradi

      Alessandra Venneri

cristina.barelli@noesis.net

valeria.valenti@noesis.net

chiara.degradi@noesis.net

      Alessandra.venneri@kaspersky.com

02/8310511

     06 58891031 - 3351980618

Via Savona, 19/A

     Via F. Benaglia 13

Milano

     Roma

 

 

 

 

 

Contatto per la Stampa

Alessandra Venneri

Inviare e-mail

Tel. +39-(06)58 891-3531
Fax +39-(06)58 14 168

Kaspersky Lab on the Web

Virus Analyst Blogs