¿Has oído hablar de Ztorg? Pues puede que no mucho, pero sus ataques están siendo más frecuentes de lo que quisiéramos… Los analistas de Kaspersky Lab han descubierto apps Ztorg en la tienda de Google Play, lo que permite pensar que los cibercriminales están probando diferentes formas para burlar las medidas de seguridad, en este caso mediante la instalación de su código malicioso por etapas y envolviendo un SMS troyano alrededor de un troyano de direccionamiento cifrado.
¿Cómo funciona el troyano Ztorg? Los ciberatacantes utilizan el troyano SMS para hacerse con dinero de sus víctimas mediante servicios SMS Premium, mientras esperan a que se ejecute el troyano de direccionamiento. Las apps han sido descargadas más de 50 mil veces desde mediados de mayo de 2017, pero parece que ya han sido eliminadas de Google Play.
La determinación de los cibercriminales de infectar dispositivos Android, utilizando malware Ztorg a través de la tienda Google Play no da signos de debilidad, adaptando continuamente sus herramientas y técnicas para evitar ser descubiertos. En mayo de 2017, los analistas de Kaspersky Lab descubrieron lo que parecía ser una variante aislada de Ztorg, un troyano SMS. Un análisis más en detalle permitió ver que contenía un troyano cifrado Ztorg de direccionamiento. El SMS Ztorg fue encontrado en dos apps, el buscador “Magic Browser” y una aplicación “Noise Detector” de detección de ruido.
La app, que llegó a descargarse en más de 50.000 ocasiones, se subió a Google Play el 15 de mayo, y nunca se actualizó, posiblemente porque era un test para comprobar si funcionaba.
Los analistas han sido capaces de realizar un estudio más detallado de la app de “detección de ruido”, subida el 20 de mayo e instalada en más de 10.000 ocasiones antes de que Google la borrara.
Cómo protegerse de un troyano móvil
El análisis sugiere que el propósito final de los criminales era llegar a ejecutar una versión normal del troyano Ztorg. Pero, desde que optaron por una estrategia por etapas en la que se iban a realizar toda una serie de actualizaciones – tanto limpias como maliciosas- y mientras esperaban a que el malware de direccionamiento se ejecutara, decidieron añadir una funcionalidad suplementaria con la intención de conseguir recursos.
La funcionalidad SMS Ztorg permite a la aplicación enviar mensajes SMS premium, borrar la entrada de nuevos SMS y apagar el sonido.
“El troyano Ztorg va a seguir apareciendo en la tienda de Google Play, acompañado de nuevos trucos pensados para evitar las medidas de seguridad e infectar el mayor número posible de dispositivos Android y demás versiones de sistemas operativos. Y aunque la víctima descargue lo que parece una aplicación “normal”, no hay garantía de que vaya a seguir limpia durante mucho tiempo más. Los usuarios, Google y los analistas de seguridad necesitan estar alertas todo el tiempo, y ser proactivos en lo que a protección se refiere”, dice Roman Unuchek, analista de malware senior en Kaspersky Lab.
Kaspersky Lab aconseja a los usuarios que instalen en su dispositivo una solución de seguridad fiable, como Kaspersky Internet Security for Android, comprobar siempre que las aplicaciones han sido diseñadas por desarrolladores de confianza, que el sistema operativo y las aplicaciones se actualizan permanentemente y, por supuesto, no descargar nada que parezca sospechoso o cuyo origen no puede verificarse.
Periodista. Mezclo #tecnologia y ciencia que mejora la vida de las personas!