24 мая 2017

Троянец Ztorg: зарази себя сам за 5 центов

Новости Угрозы

В Сети с завидным постоянством встречается реклама всевозможных легких способов заработка денег. Чаще всего попадаются посты от очередной якобы многодетной матери, которая сидит дома и зарабатывает несколько тысяч долларов в день, предлагая вам делать то же самое, что уж совсем явно выглядит как развод. Но встречаются и другие, на вид более вменяемые.

Троянец Ztorg: зарази себя сам за 5 центов

Например, есть программы, в рамках которых вам готовы платить за установку приложений. Деньги там довольно смешные — порядка 5 центов за одно приложение, но кого-то такие программы все равно привлекают: делать действительно толком ничего не надо, а какие-то копеечки падают. Больше всего такой способ заработка по душе школьникам: поставил полсотни приложений — и 150 рублей карманных денег есть, можно купить какую-нибудь шмотку для любимого персонажа любимой онлайн-игры.

В магазине Google Play существует немало приложений, которые по сути представляют собой биржи приложений. Скачал, установил, увидел список приложений, за установку которых платят деньги, скачал одно из них или несколько, установил, поиграл 3 минуты — профит!

И вроде бы сомнений в том, что это нормальная, работающая схема, не возникает. Многим разработчикам действительно важна цифра скачиваний приложения, и такие накрутки — пусть и нечестный, но вроде бы легальный способ ее увеличить. Неудивительно, что они готовы платить за это. Вроде бы подвоха нет. Или есть?

Не все способы заработка одинаково полезны

Есть, конечно же, есть — иначе бы мы про это не писали. Практика показывает, что не все так хорошо, и среди прочего такие биржи приложений распространяют зловредов, — в частности, хорошо известного нам троянца ZTorg. Того самого, которого скачали из Google Play аж полмиллиона раз под видом гида для популярной игры Pokèmon Go.

Guide for Pokèmon Go — совсем не единственное приложение, содержавшее Ztorg. Эксперт «Лаборатории Касперского» Роман Унучек, в свое время и обнаруживший Ztorg в «гиде для ловцов покемонов», в течение нескольких месяцев исследовал приложения, распространяемые с помощью этих самых бирж. Выяснилось, что каждый месяц появляется сразу несколько программ, которые на самом деле представляют собой обертку для Ztorg.

А что этот самый Ztorg делает

Все эти приложения объединяет два момента. Во-первых, число их скачиваний растет очень быстро — на десятки тысяч в день. Во-вторых, если вы посмотрите на отзывы пользователей в Google Play, то во многих из них будет так или иначе упомянуто, что скачали их ради денег, кредитов, бонусов или еще чего-нибудь в таком духе.

Работает троянец Ztorg так же, как и прежде: после установки он собирает сведения о системе и устройстве и отправляет их на командный сервер. Оттуда приходят файлы, позволяющие получить на устройстве права суперпользователя, ну а дальше начинается раздолье для злоумышленников: можно показывать рекламу, можно загружать других троянов, можно грабить корованы.

Собственно, другой способ распространения Ztorg — как раз через рекламу. Кликнул на рекламный баннер — скачал то же самое приложение, установил, заразился.

Что довольно показательно, Ztorg показывает своим жертвам рекламу из тех же сетей, через которые распространяется сам. Причем сети вполне легитимные, их использует множество других, вполне нормальных приложений, которые пытаются монетизироваться через рекламу. Просто их сотрудники не смогли распознать, что рекламируют зловредов.

Это действительно довольно тяжело, поскольку создатели Ztorg постарались спрятать зловредную функциональность, чтобы она не была заметна при изучении приложения. Например, Ztorg умеет определять, если его запускают в «песочнице» (то есть не на настоящем телефоне, а в тестовой среде), и в этом случае не работает.

Некоторые рекламные баннеры ведут не сразу на скачивание приложения, а на страницу, которая перенаправляет на другую страницу, затем на третью страницу… Максимум Роман Унучек насчитал 27 таких перенаправлений — только после этого загружается приложение. К тому же приложение может ждать до полутора часов, прежде чем скачать зловредные файлы с командного сервера, — за это время тестировщик наверняка устанет и признает, что ничего зловредного приложение не делает.

Собственно, именно благодаря такой вот скрытности всем этим зловредным приложениям и удавалось стабильно, на протяжении полутора лет пролезать в официальный магазин Google Play. Да и без Ztorg там встречаются троянцы — мы об этом уже писали (и не раз), так что слепо доверять всем приложениям из этого магазина не стоит.

Мораль

Как не стать жертвой такой хитроумной атаки и не позволить мошенникам получить полный контроль над своим телефоном? Вот несколько советов:

1. Скачивайте приложения только от известных вам разработчиков. И лучше все-таки из официальных магазинов приложений — да, там тоже есть трояны, но их все-таки меньше, чем в «диких» магазинах.

2. Установите надежное защитное решение. Скажем, Kaspersky Internet Security для Android давно умеет обнаруживать и обезвреживать Ztorg в каких угодно приложениях. В бесплатной версии главное — не забывать запускать сканирование, а в платной оно запускается само.