Ztorg
¿Qué es?
Ztorg, también conocido como Qysly, es un malware de tipo troyano genérico con características de backdoor y de mensajería SMS, que se enfoca en infectar dispositivos Android para obtener privilegios de administrador y de control remoto, monetizar la intrusión y descargar módulos adicionales para ampliar sus capacidades. Además, proporciona una puerta trasera a los atacantes que permite incluir los dispositivos como parte de una botnet para realizar ataques de manera distribuida.
¿Qué hace?
Este malware tiene capacidad para realizar las siguientes acciones en los dispositivos infectados:
- Obtiene privilegios de root mediante la ejecución de exploits que afectan a vulnerabilidades de los sistemas.
- Se conecta a servidores de mando y control (C2) y ejecuta órdenes para descargar, eliminar y actualizar aplicaciones y recolectar datos.
- Envia SMS tipo premium y borra SMS entrantes para ocultar cargos.
- Realiza suscripciones WAP (técnicas de clickjacking) para desviar saldo.
- Instala y ejecuta módulos adicionales de forma silenciosa para mejorar sus capacidades.
- Usa técnicas de ofuscación y anti-emulación para evadir su detección.
- Abusa de los Servicios de Accesibilidad para comprar e instalar aplicaciones en Google Play sin el conocimiento de los usuarios y monetizar gracias a campañas de pago por instalación (pay-per-install).
Sistemas afectados
Los principales dispositivos afectados son:
- Dispositivos con sistemas Android.
¿Cómo me infecta?
Este malware infecta a los dispositivos a través de aplicaciones maliciosas en Google Play y tiendas de terceros que se camuflan como utilidades, a través de campañas de pago por instalación (pay-per-install) y a través de publicidad engañosa (malvertising) en sitios web comprometidos.
Cómo desinfectar mi equipo
Las principales firmas de antivirus contienen reglas para detectar y eliminar este malware: accede a los cleaners para Android.
