跳到主体内容

卡巴斯基实验室的研究人员发现一个大型僵尸网络,通过广告推广活动来传播感染了Ztorg木马的应用程序。这种复杂的广告僵尸网络已经利用恶意软件感染了数十万台设备,这种恶意软件会生成广告查看行为,还会偷偷安装应用,甚至自动购买新的应用,从而为恶意软件编写者带来收益。这种有效的推广行动已经持续超过一年,使用的被感染程序已经有近100种。大多数受感染程序都很受欢迎,经历了爆炸性增长,安装次数也从每天10次增长到10,000次。事实上,首个发现的木马样本的安装次数已经超过1,000,000次。

网络空间有很多僵尸网络,其中大多数的目的都是为了赚钱。僵尸网络通常专注于广告欺诈——网络罪犯利用恶意软件感染用户设备,通过设备观看广告,或者点击Google Play安装软件或者购买软件,这些行为都会给僵尸网络的控制者带来收益。Ztrog的传播者就充分利用了这种经典的获利手段,并且将其提高到一个全新的高度。

Ztorg本身是一个非常复杂的木马,并且具有模块系架构。安装到设备上后,它做的第一件事是连接命令和控制服务器,将有关设备的数据上传到服务器,这些数据包括设备国家信息、语言信息、设备型号和操作系统版本等。所有数据上传完成后,Ztorg会下载额外组件,利用多个漏洞利用程序包获得受感染设备的root权限。这种权限能够让木马在设备上持久运行,向用户显示未经请求的广告,更具侵略性地投放广告,同时还可以偷偷安装新闻应用。

根据卡巴斯基实验室研究人员调查,Ztorg主要通过两种手段进行传播。第一种,网络罪犯从至少四个常用的合法广告网络购买流量,推广自己受感染的程序。值得注意的是,Ztorg的附加模块还会显示这些来自这些网络的广告。这回导致推广循环——用户由于受到广告网络推送的广告而被感染,感染后,用户会收到更多的广告,因为用户设备上安装了木马。

Ztorg传播的第二种方式是通过一些应用程序,这些应用会向用户付费,要求用户从Google Play安装其它应用。每安装一次被Ztorg感染的应用,用户可以得到0.04至0.05美元。其实用户只能得到很少的钱,但是这些设备会进入僵尸模式,显示大量未请求的广告内容,为网络罪犯赚取利润。

“整个2016年,能够获取超级用户权限的广告木马一直是移动用户面临的头号威胁。发现的用于推广Ztorg木马的多级网络表明,这一趋势仍然在不断演化。最新的被感染应用上传到Google Play的时间是2017年3月,而且我们还预测将会出现更多这类应用,”卡巴斯基实验室高级恶意软件分析师Roman Unuchek 总结说。

要了解更多有关Ztorg僵尸网络的详情,请阅读Securelist.com上的相关博文

如果担心自己遭遇这种木马,建议用户在自己的设备上安装一款可靠的安全解决方案,例如卡巴斯基安全软件安卓版。此外,卡巴斯基实验室还建议用户检测自己使用的应用是否出自信誉良好的开发商,同时确保操作系统和应用软件保持更新,不要下载任何可疑的应用或来源不明的应用。

3580-Ztorg-PR-Infographics-v03

Ztorg僵尸网络肆虐:一年内超过100万设备被感染

卡巴斯基实验室的研究人员发现一个大型僵尸网络,通过广告推广活动来传播感染了Ztorg木马的应用程序。
Kaspersky Logo