Trojan Ztorg: zainfekuj się za grosze

W internecie jest całe mnóstwo reklam promujących łatwy zarobek. Zwykle prowadzą one do podejrzanych miejsc — istnieją na przykład takie, które są rzekomo opublikowane przez matkę trójki dzieci, która nie

W internecie jest całe mnóstwo reklam promujących łatwy zarobek. Zwykle prowadzą one do podejrzanych miejsc — istnieją na przykład takie, które są rzekomo opublikowane przez matkę trójki dzieci, która nie pracuje, a mimo to zarabia kilka tysięcy dolarów dziennie. W dodatku twierdzi ona, że Ty też tak możesz. Są także inne sposoby pozwalające na łatwe zarabianie pieniędzy, które nie wzbudzają aż tylu wątpliwości.

I tak na przykład niektóre strony oferują korzyści finansowe za to, że zainstalujesz konkretne aplikacje. Pieniądze nie są jakoś szczególnie duże — około 5 centów za aplikację — ale praca nie wymaga wysiłku, zatem dla niektórych oferta wygląda dosyć atrakcyjnie. Schemat ten jest popularny zwłaszcza wśród dzieci — gdy zainstalują 50 aplikacji, dostaną 2,50 dolara i będą mogły coś kupić dla swojej ulubionej postaci w grze internetowej.

W sklepie Google Play jest wiele aplikacji, które w rzeczywistości są aplikacjami służącymi do wymiany. Po jej pobraniu i zainstalowaniu wyświetla się lista aplikacji, za które można uzyskać pieniądze — gdy się je również pobierze i zainstaluje.

Wygląda to dosyć kosmicznie — i słusznie. Wielu twórców programów ceni najbardziej liczbę pobrań aplikacji, a schemat ten znacznie zwiększa takie statystyki, nawet jeśli nie jest to zbyt uczciwe działanie. Nic dziwnego, że programiści są gotowi za to zapłacić. Teoretycznie więc nie jest to pułapka — a praktycznie?

Pieniądze za nic, szkodliwy program za darmo

Oczywiście, że jest to pułapka — w przeciwnym razie dlaczego mielibyśmy o tym pisać? Okazuje się, że takie aplikacje służące do wymiany mogą między innymi zmusić Cię do pobrania szkodliwego programu, zwłaszcza niesławnego trojana Ztorg. Trojan ten został pobrany ze sklepu Google Play 500 tysięcy razy, ukrywając się pod postacią poradnika do popularnej gry Pokémon Go.

Ale trojana Ztorg  zawiera nie tylko wspomniany poradnik dla gry Pokémon Go. Roman Unuchek, ekspert z firmy Kaspersky Lab, który odkrył ten szkodliwy program wewnątrz aplikacji, badał przez kilka miesięcy aplikacje rozsyłane za pośrednictwem wspomnianych programów  służących do wymiany. Odkrył on, że co miesiąc pojawiały się nowe aplikacje, które miały w sobie zamaskowanego Ztorga.

Co dokładnie robi Ztorg

Wszystkie wspomniane aplikacje mają wspólne dwie rzeczy. Po pierwsze — liczba ich pobrań szybko wzrasta (każdego dnia o dziesiątki tysięcy). Po drugie — wielu użytkowników wspomina w swoich opiniach w sklepie Google Play, że pobrali tę aplikację dla zdobycia pieniędzy, kredytów, bonusów itp.

Trojan Ztorg nie zmienił się: po zainstalowaniu gromadzi informacje o systemie i urządzeniu oraz wysyła je do serwera kontroli. Serwer zwraca specjalne pliki, które umożliwiają szkodliwemu programowi uzyskanie w urządzeniu uprawnień na poziomie administratora, dzięki czemu oszuści mogą zrobić dosłownie wszystko: wyświetlać reklamy, pobierać inne trojany itp.

Ztorg rozprzestrzenia się również poprzez reklamy. Klikasz baner i pobierasz aplikację, instalujesz ją i łapiesz infekcję.

Interesujące jest to, że trojan Ztorg wyświetla swoim ofiarom reklamy z tych samych sieci, z których się rozprzestrzenia. Sieci te są legalne; wiele innych aplikacji używa ich do zarabiania. Wyygląda na t, że osoby odpowiedzialne za bezpieczeństwo tych sieci zapomnieli wspomnieć, że reklamowali szkodliwy program.

Autorzy Ztorga ukryli jego szkodliwą funkcjonalność, dlatego nie jest ona widoczna od razu. Na przykład program ten ocenia środowisko, w którym się znajduje, dlatego nie uruchomi się w środowisku testowym zwanym piaskownicą.

Większość banerów reklamowych nie kieruje użytkownika bezpośrednio na stronę pobierania aplikacji, ale na stronę, która kieruje na kolejną, która kieruje na kolejną, a ta na kolejną… Nasz ekspert zliczył 27 takich przekierowań, zanim ostatecznie trafił na stronę pobrania. Co więcej, aplikacja może opóźnić proces pobierania szkodliwych plików z serwera poleceń aż do 90 minut — w takich okolicznościach tester prawdopodobnie doszedłby do wniosku, że aplikacja nie robi nic szkodliwego.

Umieszczanie szkodliwych aplikacji w oficjalnym sklepie Google Play przez półtora roku pozwalała funkcja zaciemniania. Znajdują się tam także inne Trojany — o czym już pisaliśmy (i to nawet nie raz) — dlatego nie warto bezgranicznie ufać wszystkim aplikacjom ani z tego sklepu, ani z podobnych.

Morał

Jak Mie zostać ofiarą takich ataków i nie wpuścić oszustów do telefonu? Wystarczy zastosować się do dwóch zaleceń:

  • Pobieraj aplikacje tylko od zaufanych programistów i z oficjalnych sklepów. Nie zapominaj, że tam także można natknąć się na trojany, ale są to stosunkowo rzadkie sytuacje.
  • Zainstaluj niezawodną ochronę, na przykład program Kaspersky Internet Security for Android, który od dawna identyfikuje i neutralizuje Ztorg w każdej postaci czy aplikacji. Darmowa wersja naszego produktu wymaga ręcznego przeprowadzania skanowania, w płatnej odbywa się ono automatycznie.
Porady