Kaspersky Lab'ın araştırmacıları, Ztorg Trojan bulaşmış uygulamaların kullanımını reklam kampanyaları yoluyla teşvik eden büyük ölçekli bir ağ keşfetti. Bu sofistike zombi ağı (botnet), reklamlar için sahte gösterimi üreten, gizlice uygulama yükleyen, hatta yeni uygulamalar satın alan ve dolayısıyla geliştiricilerine para kazandıran bir zararlı yazılımın bulaştığı yüzbinlerce cihazı ele geçirmiş durumda. Reklam kampanyaları bir yıldan fazla süredir etkin ve bugüne kadar yaklaşık 100 programı etkiledi. Çoğu çok popüler olan kampanyalar, tek bir günde 10.000 kurulum gerçekleştirecek kadar hızlı büyüme gösterdi. Keşfedilen ilk Truva Atı örneği 1.000.000 kurulum gerçekleşmişti.
Siber uzayda birçok botnet mevcut ve birçoğu para kazanmak için geliştiriliyor. Botnet'ler çoğunlukla reklam sahtekârlığına odaklanıyor. Siber suçlular, reklam gösterimi üreten ve yeni uygulamalar yüklemek veya satın almak için Google Play’e giren kötü amaçlı yazılımlarla kullanıcı cihazlarını ele geçiriyor ve bunun üzerinden kar sağlıyor. Ztorg’un arkasındaki isimler ise bu klasik süreci istismar ederek, yeni bir boyuta taşıdılar.
Ztorg, modüler bir mimariye sahip çok sofistike bir Truva atı. Kurulumdan sonra yaptığı ilk şey, komuta kontrol sunucusuna bağlanarak ülke, dil, cihaz modeli ve işletim sistemi sürümü de dahil olmak üzere cihazla ilgili verileri sunucuya yüklemek. Tüm veriler yüklendikten sonra, Ztorg bulaşmış olduğu cihazda yönetici yetkileri almak üzere birkaç exploit paketi kullanarak ek bir modül indirmeye başlıyor. Bu yetkiler Truva atının cihaz üzerinde sürekli olarak faal kalmasını sağlayarak, istenmeyen reklamlar göstermesine, daha agresif bir şekilde gösterimler yapabilmesine ve gizli bir şekilde haber uygulamaları kurmasına izin veriyor.
Kaspersky Lab araştırmacılarına göre, Ztorg iki şekilde dağıtılıyor. İlk olarak, siber suçlular, tehlikeli programlarını teşvik etmek için en az dört popüler yasal reklam ağından trafik satın alıyor. Ztorg'un ek modüllerinin, bu ağlardan reklamlar gösterdiğini belirtelim. Bu şekilde, reklam ağındaki kötü amaçlı reklamlar kullanıcıları tehlikeye atıyor ve Truva atı sistemlerine yüklendikten sonra ise aynı ağdan gelen çok daha fazla reklama maruz kalıyorlar.
Ztorg'un dağıtımının ikinci yoluysa, kullanıcılara Google Play'den başka program yüklemeleri için ödeme yapan uygulamalar yoluyla yapılıyor. Bunlar, içine Ztorg bulaşmış bir uygulamayı yüklemeleri için kullanıcılara 0,04-0,05 dolar ücret teklif ediyor. Uygulamayı yükleyen kullanıcılar birkaç kuruş ödül alırken, cihazları zombi moduna girerek siber suçlulara yarar sağlayan istenmeyen reklamları göstermeye başlıyor.
Kaspersky Lab ABD’de Kıdemli Zararlı Yazılım Analisti olan Roman Unuchek, “Süper kullanıcı haklarını kötüye kullanan reklamcılık Truva atları, 2016 boyunca mobil kullanıcılar için 1 numaralı tehdidi oluşturdu. Ztorg'un yayılmasını sağlayan bu çok aşamalı ağ, bu eğilimin halen gelişmekte olduğunu gösteriyor. Mayıs 2017’de Google Play’e yeni uygulamalar yüklendi ve kısa bir süre içerisinde bu örneklerden daha fazlasını görmeyi bekliyoruz” dedi.