24 May 2017

Troyano Ztorg: Inféctate por 5 céntimos

Noticias Seguridad

En Internet hay mucha publicidad que promueve formas sencillas de ganar dinero. Suelen dirigirte a sitios sospechosos, por ejemplo, una publicación sobre una supuesta ama de casa y madre de tres niños que gana miles de dólares al día, diciendo que tú también puedes hacer lo mismo. Pero también existen formas de ganar dinero de forma sencilla que parecen ser más creíbles.

Por ejemplo, algunos servicios ofrecen pagarte por instalar aplicaciones. Las cantidades de dinero son mínimas, a 5 centavos por app, pero el trabajo no requiere ningún esfuerzo, por lo que a algunas personas les resulta atractivo. Este tipo de sistema es especialmente popular entre los niños. Instala 50 apps y gana $2,50 para comprar el equipamiento de tu personaje online favorito.

La tienda de aplicaciones Google Play tiene unas cuantas aplicaciones que, de hecho, son intercambios de apps. Te descargas una, la instalas, ves una lista de apps por las que puedes recibir dinero, te descargas un par de ellas, juegas durante unos minutos ¡y recibes tu dinero!

Puede parecer algo normal, hasta legítimo. De hecho, muchos desarrolladores de software le dan mucho valor al número de descargas de la app, y de esta forma incrementan el número, aunque no sea del todo honesto. Ya veo por qué los desarrolladores están dispuestos a pagar por ello. No parece haber ningún inconveniente, ¿o sí?

Dinero para nada, malware gratis

Claro que hay malware, de lo contrario, ¿para qué escribir sobre este tema? Resulta que tales intercambios de aplicaciones solo te animan a descargar malware, siendo exactos, el infame Troyano Ztorg, descargado 500,000 veces desde la Google Play, ocultado como una guía para el famoso juego Pokémon Go.

La guía para Pokémon Go no es la única aplicación que contiene Ztorg. Roman Unuchek, el experto de Kaspersky Lab que descubrió Ztorg en la aplicación, analizó durante varios meses las aplicaciones distribuidas a través de estos intercambios. Descubrió que cada mes aparecían aplicaciones nuevas que en realidad eran Ztorg camuflado.

Qué hace Ztorg en realidad

Todas estas aplicaciones tienen dos cosas en común. En primer lugar, su número de descargas aumenta rápidamente, a un ritmo de miles de descargas diarias. En segundo lugar, si te fijas en las reseñas de Google Play, muchos mencionan que la gente se descarga dichas aplicaciones por dinero, créditos, bonificaciones o cosas por el estilo.

El Troyano Ztorg no ha cambiado. Después de la instalación, recopila información sobre el sistema y el dispositivo y la envía al servidor de comando y control (C&C). El servidor responde con archivos que permiten al malware obtener acceso al dispositivo, para que los criminales tengan la libertad de hacer lo que quieran: mostrar publicidad, descargar otros troyanos, lo que sea.

Ztorg también se difunde a través de anuncios publicitarios. Si haces clic en un banner, descargas la aplicación y la instalas, ¡te puedes infectar fácilmente!

Lo interesante sobre Ztorg es que muestra anuncios a sus víctimas desde las mismas redes por las que se difunde el malware. Las redes son legítimas, muchas otras aplicaciones las utilizan para intentar monetizarlas. La cuestión es que los que protegen las redes no han visto que estaban publicitando un malware.

Para ser justos, los desarrolladores de Ztorg escondieron su funcionalidad maliciosa y no fue algo evidente cuando se analizó la aplicación. Por ejemplo, Ztorg evalúa su entorno y no funciona en un entorno aislado de procesos.

La mayoría de banners de publicidad engañosa no enlazan directamente a la página de descarga de la aplicación, sino a una página que te redirige a otra, y luego a otra y otra. Unuchek contó hasta 27 páginas redirigidas antes de poder llegar a la descarga. Además, la aplicación puede tardar hasta 90 minutos para descargar los archivos maliciosos del servidor C&C. Para entonces, el tester podría decidir que la aplicación no está haciendo nada malicioso.

De hecho, la confusión es exactamente el truco que permitió a las aplicaciones maliciosas entrar en la Google Play durante un año y medio. Otros troyanos también acechan, pero ya hemos hablado del tema (más de una vez), por lo que no deberías fiarte a ciegas de las aplicaciones de ninguna tienda online de aplicaciones.

La moraleja

¿Cómo puedes evitar ser víctima de este tipo de ataques y estafadores? Tenemos dos consejos para ti:

  • Descarga aplicaciones solo de desarrolladores de confianza o, mejor, de tiendas oficiales de aplicaciones. Es posible que incluso en ellas te topes con troyanos, pero son menos comunes de tiendas oficiales.

 

  • Instala una protección fiable. Por ejemplo, Kaspersky Internet Security para Android ha podido identificar y neutralizar Ztorg presente en cualquier aplicación. Si utilizas la versión gratuita recuerda ejecutar un análisis a menudo, los análisis automáticos solo están disponibles en la versión de pago.