Los analistas de Kaspersky Lab han descubierto apps Ztorg en la tienda de Google Play, lo que permite pensar que los cibercriminales están probando diferentes formas para burlar las medidas de seguridad, en este caso mediante la instalación de su código malicioso por etapas y envolviendo un SMS troyano alrededor de un troyano de direccionamiento cifrado.
Los ciberatacantes utilizan el troyano SMS para hacerse con dinero de sus víctimas mediante servicios SMS Premium, mientras esperan a que se ejecute el troyano de direccionamiento. Las apps han sido descargadas más de 50 mil veces desde mediados de mayo de 2017, pero parece que ya han sido eliminadas de Google Play.
La determinación de los cibercriminales de infectar dispositivos Android, utilizando malware Ztorg a través de la tienda Google Play no da signos de debilidad, adaptando continuamente sus herramientas y técnicas para evitar ser descubiertos.
En mayo de 2017, los analistas de Kaspersky Lab descubrieron lo que parecía ser una variante aislada de Ztorg, un troyano SMS. Un análisis más en detalle permitió ver que contenía un troyano cifrado Ztorg de direccionamiento. El SMS Ztorg fue encontrado en dos apps, el buscador “Magic Browser” y una aplicación “Noise Detector” de detección de ruido.
La app, que llegó a descargarse en más de 50.000 ocasiones, se subió a Google Play el 15 de mayo, y nunca se actualizó, posiblemente porque era un test para comprobar si funcionaba.
Los analistas han sido capaces de realizar un estudio más detallado de la app de “detección de ruido”, subida el 20 de mayo e instalada en más de 10.000 ocasiones antes de que Google la borrara.