Hay numerosas botnets en el ciberespacio, la mayoría de ellos existen para ganar dinero y se centran a menudo en el fraude publicitario: los ciberdelincuentes comprometen los dispositivos de los usuarios con malware que proporciona vistas de anuncios y clics en Google Play para instalar o comprar nuevas aplicaciones, todo lo cual genera beneficios para el autor de la botnet. Los distribuidores de Ztorg han explotado este proceso clásico y lo han llevado a otros niveles.
Ztorg en sí es un troyano muy sofisticado con arquitectura de módulo. Lo primero que hace después de la instalación, es conectarse a su servidor de mando y control y cargar datos acerca del dispositivo; entre ellos el país, el idioma, el modelo de dispositivo y la versión del sistema operativo. Una vez que se cargan todos los datos, Ztorg descarga un segundo módulo, adicional, que utiliza varios paquetes de ataques para obtener privilegios de root en el dispositivo infectado. Estos derechos permiten al troyano actuar de forma persistente en el dispositivo, mostrando así anuncios no solicitados por el usuario, distribuyendo anuncios de forma más agresiva e instalando discretamente aplicaciones de noticias.
Según los investigadores de Kaspersky Lab, Ztorg se distribuye de dos maneras. En primer lugar, los ciberdelincuentes compran tráfico de por lo menos cuatro redes populares de publicidad legal para promover programas comprometidos. Es importante señalar que los módulos adicionales de Ztorg muestran anuncios de estas redes. Esto conduce a la recurrencia de la promoción –los usuarios se ven afectados debido a los anuncios maliciosos de una red publicitaria y, después de la infección, ven aún más anuncios de la misma red debido al troyano instalado.
La segunda forma en que Ztorg se distribuye es mediante aplicaciones que pagan a los usuarios por instalar otros programas de Google Play. Estos ofrecen a los usuarios entre cuatro y cinco centavos de dólar por instalar una aplicación infectada con Ztorg. Mientras los usuarios obtienen su recompensa por pocos centavos, sus dispositivos entran en modo “zombi”, mostrando así anuncios no deseados para beneficio de los ciberdelincuentes.
"Durante todo el 2016, los troyanos publicitarios capaces de atacar los derechos de superusuario eran la principal amenaza para los usuarios móviles. La red de varias etapas que se ha descubierto al promover Ztorg indica que esta tendencia sigue evolucionando. Las aplicaciones más recientes se subieron a Google Play en abril de 2017 y pronto esperamos ver más de su tipo", concluye Roman Unuchek, analista sénior de malware en Kaspersky Lab.
Las personas preocupadas por enfrentarse al troyano deben instalar en su dispositivo una solución de seguridad confiable y robusta, como Kaspersky Internet Security para Android. Si ya están infectados, la mejor manera de eliminar el malware en la raíz es hacer una copia de seguridad de todos los datos y restablecer el dispositivo a la configuración de fábrica. Además, Kaspersky Lab recomienda a los usuarios que siempre comprueben que las aplicaciones hayan sido creadas por un programador respetado, y así mantener su sistema operativo y software de aplicaciones actualizadas, además no descargar nada que parezca sospechoso o cuya fuente no pueda verificarse.