Libero
SICUREZZA INFORMATICA

Campagne pubblicitarie false: oltre un milione i dispositivi infettati

I ricercatori del gruppo Kaspersky Lab hanno scoperto un malware che ha infettato un milione di utenti in un anno sfruttando falsi annunci pubblicitari

Campagne pubblicitarie false: oltre un milione i dispositivi infettati Fonte foto: Shutterstock

E se la campagna pubblicitaria in realtà fosse un malware? È questo quello che hanno scoperto i ricercatori per la sicurezza informatica di Kaspersky Lab. Un gruppo di hacker ha infettato una miriade di annunci online con il famoso Ztorg Trojan, colpendo più di un milione di dispositivi.

Si tratta nello specifico di una botnet di pubblicità fittizie che ha come unico scopo quello di far guadagnare denaro ai suoi autori. L’attacco ha già compromesso centinaia di migliaia di dispositivi, in meno di 12 mesi d’attività. L’infezione avviene attraverso un malware che genera visite per annunci pubblicitari e l’installazione, o l’acquisto involontario, di nuove applicazioni. Quello degli attacchi hacker attraverso finte campagne pubblicitarie è un fenomeno in fortissima espansione. Basti pensare che nel solo 2016 le installazioni di questo specifico malware sono passate da 10 a 10mila al giorno.

Le botnet

Ci sono molte botnet nel cyberspazio e la maggior parte di esse esiste allo scopo di far guadagnare denaro. Le botnet sono spesso incentrate su frodi pubblicitarie, i cybercriminali, infatti, compromettono i dispositivi degli utenti con malware che generano visualizzazioni degli annunci e accessi al Google Play Store per installare o acquistare nuove applicazioni, garantendo così un profitto all’autore della botnet. Il gruppo di hacker dietro a di Ztorg ha sfruttato questo processo, già noto, rendendolo semplicemente più efficace.

Come agisce Ztorg

Parlando di Ztorg, si tratta di un trojan (una tipologia particolare di virus) molto sofisticato, con architettura modulare. Appena installato si connette al server di comando e controllo e carica i dati relativi al dispositivo. Inclusi il paese, la lingua, il modello di periferica e la versione del sistema operativo. Una volta caricati tutti i dati, Ztorg scarica un secondo modulo aggiuntivo che utilizza diversi stratagemmi per ottenere i privilegi di root su un dispositivo infettato. Questi diritti permettono al Trojan di agire in modo continuativo sul dispositivo, mostrando all’utente annunci non richiesti, distribuendo annunci in modo più aggressivo e installando in modo discreto nuove applicazioni.

Come si diffonde il virus

Secondo i ricercatori di Kaspersky Lab, Ztorg viene distribuito in due modi. Innanzitutto, i criminali informatici acquisiscono traffico da almeno quattro network legali di annunci molto popolari, questo allo scopo di promuovere i programmi dannosi. I moduli aggiuntivi di Ztorg rendono visibili gli annunci pubblicitari attraverso questi network con lo scopo di ottenere la ricorsività della promozione, ovvero una volta che l’utente è stato infettato da un annuncio dannoso, continuerà a visualizzare sempre più annunci provenienti dallo stesso network a causa del Trojan installato. Il secondo modo di distribuire Ztorg è tramite applicazioni che pagano gli utenti per installare altri programmi da Google Play. Queste applicazioni offrono agli utenti 0,04 o 0,05 centesimi di dollari per l’installazione di un’applicazione compromessa da Ztorg: gli utenti ricevono come premio pochi centesimi e i loro dispositivi vanno in modalità “zombie”, mostrando annunci indesiderati a beneficio dei cybercriminali.