Ztorg Trojaner: Infizieren Sie sich selbst für 5 Cent

24 Mai 2017

Viele Anzeigen im Internet werben mit einfachen Formen, um Geld zu verdienen. Sie tendieren dazu, einen auf Phishing-Seiten zu leiten, so z.B. der Post einer angeblichen Mutter von drei Kindern, die Zuhause bleibt, einige tausend Dollar am Tag verdient und sagt, dass Sie dasselbe tun können. Aber es gibt noch andere Möglichkeiten leichtes Geld zu verdienen, die vielleicht plausibler erscheinen.

Zum Beispiel bieten manche Dienstleister an, Sie dafür zu bezahlen, dass Sie Apps installieren. Bei dem Geld geht es um Kleingeld – etwa 5 Cent pro App – aber die Arbeit ist sehr mühelos, also finden manche Leute es doch attraktiv. Dieses Verfahren ist unter Kindern sehr beliebt – installiere 50 Apps und erhalte 2,50 US-Dollar, um ein Gimmick für deinen Lieblingscharakter in einem Online-Spiel zu kaufen.

Der Google Play App Store hat ein paar Anwendungen, die eigentlich ein App-Austausch sind. Man lädt eins davon herunter, installiert es, sieht eine Liste von Apps, für die man bezahlt wird, man lädt ein paar davon herunter, installiert sie, spielt ein paar Minuten und profitiert!

Das sieht ziemlich banal aus. Sogar legitim. Tatsächlich geben viele Software-Entwickler der Anzahl an Downloads einen hohen Stellenwert und so ein Verfahren erhöht die Anzahl, auch wenn es nicht ganz ehrlich ist. Kein Wunder, dass Entwickler bereit sind, dafür zu bezahlen. Es scheint keinen Haken zu geben – oder doch?

Geld für nichts, Malware umsonst

Natürlich gibt es einen. Warum sollten wir sonst darüber schreiben? Es stellt sich heraus, dass diese App-Austausche einen unter anderem dazu zwingen, Malware herunterzuladen, insbesondere den berüchtigten Ztorg Trojaner. Das ist ein Trojaner, der 500.000 Mal bei Google Play heruntergeladen wurde und als ein Leitfaden für das berühmte Spiel Pokémon Go getarnt war.

Der Leitfaden für Pokémon Go ist nicht die einzige App, die Ztorg enthält. Roman Unuchek, der Kaspersky Lab Experte, der Ztorg in der App entdeckte, untersuchte die Anwendungen, die durch diese App-Austausche verbreitet wurden mehrere Monate lang. Er fand heraus, dass jeden Monat neue Apps erschienen, die eigentlich nur eine Tarnung für Ztorg waren.

Was Ztorg eigentlich macht

Alle diese Anwendungen haben zwei Dinge gemein. Erstens erhöht sich ihre Download Anzahl schnell – um zehntausende am Tag. Zweitens, wenn man sich ihre Nutzerbewertungen im Google Play Store ansieht, erwähnen die Meisten, dass Leute die App für Geld, Kredite, Bonusse oder ähnliches heruntergeladen haben.

Der Ztorg Trojaner hat sich nicht verändert. Nach der Installation sammelt er Informationen über das System und das Gerät und sendet sie zum Kommando- und Kontroll-Server. Der Server antwortet mit Dateien, die es der Malware ermöglichen, einen Root-Zugang zu dem Gerät zu erhalten. Danach haben Betrüger die Freiheit alles zu tun, was sie wollen: Werbung anzeigen, andere Trojaner herunterladen, was auch immer.

Ztorg verbreitet sich auch durch Werbung. Man klickt auf einen Banner und lädt die App herunter, installiert sie und infiziert sich. Super einfach!

Was interessant ist, ist das Ztorg seinen Opfern Werbung von denselben Netzwerken zeigt, durch die er sich selbst ausbreitet. Die Netzwerke sind legitim, viele andere Anwendungen nutzen sie, um selbst Geld zu machen. Es ist nur so, dass die Netzwerksicherheits-Typen den wichtigen Aspekt vergessen haben, dass sie Werbung für Malware gemacht haben.

Um fair zu sein, die Entwickler von Ztorg haben die bösartige Funktion versteckt, und es ist nicht offensichtlich, wenn man die App untersucht. Zum Beispiel überprüft Ztorg sein Umfeld und funktioniert in einem Sandkasten (einem Test-Umfeld) nicht.

Die meisten Banner, die für Malware werben, sind nicht direkt mit der Downloadseite der App verlinkt, sondern führen die Nutzer auf eine andere Seite, die auf eine andere Seite weiterleitet, die auf eine andere Seite weiterleitet, die wiederrum auf eine andere Seite weiterleitet. Das alles dient dem Zweck der Verschleierung. Unuchek hat bis zu 27 von diesen Weiterleitungen gezählt, bevor man letztendlich zu dem Download kommt. Außerdem kann die App das Herunterladen von bösartigen Dateien vom Kontroll-Server aus auf bis zu 90 Minuten verzögern. Nach dieser Zeit wird ein Prüfer wahrscheinlich schon entschieden haben, dass die App nichts Böses tut.

Durch die Verschleierung sind die bösartigen Anwendungen auch erst auf die offizielle Google Play Store Seite gekommen und verweilten dort für anderthalb Jahre. Auch andere Trojaner lauern dort, wir haben schon über dieses Thema berichtet (mehr als einmal) – also sollten Sie nicht allen Anwendungen in diesem oder anderen Stores blind vertrauen.

Die Moral

Wie können Sie es verhindern, Opfer von diesen Angriffen zu werden und Betrüger in Ihr Telefon zu lassen? Wir haben zwei Tipps für Sie:

  1. Laden Sie nur Anwendungen von vertrauensvollen Entwicklern herunter oder besser, von den offiziellen App-Stores. Sie können immer noch auf Trojaner treffen, aber sie sind weitaus weniger präsent auf offiziellen Seiten.

  1. Installieren Sie einen verlässlichen Schutz. Zum Beispiel Kaspersky Internet Security für Android ist schon lange fähig, Ztorg in jeder Weise oder Anwendung zu identifizieren und zu neutralisieren. Wenn Sie die kostenfreie Version nutzen, dann sollten Sie öfters Scans durchführen; automatische Scans sind Funktionen der kostenpflichtigen Version.