Tutto ciò che occorre sapere sul nuovo Ztorg, il malware su Google Play che ruba denaro e roota lo smartphone

Ztorg è tornato, e questa volta sembra voler guadagnare qualche soldo, oltre che rootare lo smartphone infettato

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Nonostante il nome un po’ pacchiano, siamo certi che se la saga di Ztorg fosse stata distribuita unicamente via cinema e TV ci saremmo complimentati con il regista per l’originalità della trama di ogni nuovo episodio. Invece, sfortunatamente, Ztorg si conferma come uno dei più versatili e ostici malware per Android, grazie alla capacità di rootare lo smartphone infetto e la possibilità di installare moduli alternativi che possono diventare, a loro volta, embrioni di un trojan indipendente dalla matrice originale.

Siete pronti per scoprire tutto ciò che occorre sapere sul nuovo Ztorg?

Che cos'è Ztorg

La storia di Ztorg affonda le radici nella genesi di uno dei più temuti malware per Android: Triada. Il primo virus modulare della storia si serviva infatti di Ztorg, insieme ad altri suoi emuli, come avanguardie per l’infezione temporanea dello smartphone vittima dell’attacco, grazie alla quale poi poteva procedere con la sostituzione di Zygote, uno dei processi alla base delle app Android, con propri moduli maligni.

Ztorg malware
Le modalità di attacco di Triada

La natura modulare di Triada non è sconosciuta a Ztorg, il quale spesso arriva nei device dei malcapitati utenti accompagnato da moduli aggiuntivi che gli consentono di integrare nuove funzionalità alla propria versione base. E non è nemmeno possibile attribuire la colpa dell’infezione allo stesso utente, il quale potrebbe solamente aver scaricato un’innocua app dal Play Store.

Nel caso dell’ultima segnalazione effettuata da Kaspersky Lab è stato notato come Ztorg fosse riuscito ad intrufolarsi su Google Play all’interno di due app distinte: Magic Browser, con oltre 50.000 installazioni all’attivo, e Noise Detector, che invece si era fermato a 10.000. Fortunatamente, entrambe le applicazioni non contenevano la versione finale di Ztorg, ma solamente alcuni suoi moduli ed un file crittografato chiamato girl.png, che se de-codificato sarebbe diventato poi la versione finale di Ztorg.

Nonostante il maggiore successo di Magic Browser, sembra che gli hacker dietro lo sviluppo di Ztorg non avessero interesse a proseguirne lo sviluppo, quanto piuttosto intendessero servirsene come “test” per mettere alla prova il servizio SafetyNet di Google Play. Se infatti Magic Browser ed i suoi moduli fossero stati approvati, allora si sarebbe potuto procedere con l’implementazione del malware in un’ulteriore app – Noise Detector, per l’appunto.

Come Ztorg avrebbe attaccato gli smartphone degli utenti

Dopo essere riuscito ad installarsi, Ztorg non esegue immediatamente le proprie funzionalità maligne, ma attende dieci minuti prima di contattare il proprio server C&C (Comando&Controllo) per ricevere le istruzioni da eseguire.

Ztorg
Il codice di Ztorg relativo al download del file JSON contenente i comandi iniziali

Nel caso di questa versione di Ztorg, è interessante notare come i moduli che sarebbero dovuti essere eseguiti non avevano come finalità il rooting dello smartphone, bensì l’invio e la ricezione di SMS. Dopo infatti aver ottenuto il MCC (Mobile Country Code) e MNC (Mobile Network Code) per l’identificazione della posizione geografica dello smartphone, Ztorg analizza ogni riga del file ricevuto dal server C&C. Se contiene un URL, allora verrà immediatamente visitato, se invece presenta un testo, invierà un SMS al numero di cellulare posto a fianco.

Nei fatti sembra proprio che questa versione “Light” di Ztorg tenti di guadagnare denaro simulando click su pagine web (una tecnica chiamata “clickjacking“) relative a servizi WAP: confrontando la versione trovata su Google Play ad altri file APK rintracciati su store esterni, dove ovviamente le difese sono inferiori se non nulle, è stato possibile scoprire come i moduli di Ztorg impiegassero più di 10 modalità di invio di SMS per accertarsi che ogni dispositivo e versione di Android fosse supportato.

Naturalmente, tutti i messaggi di testo di conferma dell’iscrizione agli abbonamenti venivano cancellati dal malware prima che l’utente potesse accorgersene, ed per buona misura le notifiche relative agli SMS venivano disattivate.

Come difendersi da Ztorg

Fortunatamente, sembra che Kaspersky Lab sia intervenuta appena in tempo: la strategia degli hacker consisteva nell’upload periodico di porzioni di moduli e file crittografati, ed a quanto pare l’ultimo stage – l’attivazione del malware, nascosto in un file crittografato così come già visto – era solo questione di tempo.

Magic Browser su Google Play

I nostri consigli in questo caso si sprecano, poiché la minaccia proveniva direttamente da Google Play: vi suggeriamo di visitare QUESTI nostri Saggi Consigli che vi indicheranno come comportarvi per evitare malware e virus, mentre QUI potrete trovare tutti gli indizi che suggeriscono la presenza di un file infetto nel vostro device.

Non perderti d’animo, scopri QUI tutti i modi per difendere la tua privacy online!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Fonte Kaspersky Lab
Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//