Experţii Kaspersky Lab au descoperit o nouă aplicaţie malware în Google Play: „Ghid pentru Pokémon Go” („Guide for Pokémon Go”), capabilă să obţină drepturi de acces pe smartphone-urile cu Android şi apoi să instaleze/dezinstaleze aplicaţii şi să afişeze publicitate nesolicitată. Aplicaţia a fost descărcată de peste 500.000 de ori, având cel puţin 6.000 de infectări reuşite. Kaspersky Lab a anunţat Google despre prezenţa acestui troian, iar aplicaţia a fost scoasă din Google Play.
Fenomenul global Pokémon Go a dat naştere unui număr tot mai mare de aplicaţii conexe şi, inevitabil, unui interes la fel de mare din partea comunităţii de infractori cibernetici. Analiza Kaspersky Lab asupra troianului „Ghid pentru Pokémon Go” a scos la iveală un cod malware care reuşeşte să obţină acces de administrator în sistemul de operare Android pentru a instala şi a dezinstala alte aplicaţii, precum şi pentru afişarea de reclame.
Troianul are unele caracteristici interesante care îl ajută să nu fie detectat. De exemplu, nu începe să acţioneze imediat ce victima instalează şi deschide aplicaţia. În schimb, aşteaptă ca utilizatorul să instaleze sau să dezinstaleze o altă aplicaţie, iar apoi verifică dacă aplicaţia funcţionează pe un dispozitiv real sau pe unul virtual. Dacă are de-a face cu un dispozitiv real, troianul aşteaptă încă două ore înainte de a-şi începe activitatea.
Nici în acel moment nu este sigur că s-a produs infectarea. După ce se conectează la serverul lui de comandă şi control şi îşi uploadează informaţii despre dispozitivul infectat: model, ţara din care provine, limba şi versiunea de OS, troianul va aştepta un răspuns. Doar în cazul în care primeşte răspunsul va continua cu alte solicitări şi cu descărcarea, instalarea şi implementarea unor module malware suplimentare.
Parcurgerea acestor etape înseamnă că serverul de control poate opri atacul dacă vrea – poate sări utilizatorii pe care nu îi are în vedere sau pe aceia în spatele cărora bănuieşte că se află un dispozitiv virtual, de exemplu. Astfel, programul malware are o protecţie suplimentară.
După ce primeşte drepturi de administrator, troianul îşi va instala modulele în sistemul de fişiere al dispozitivului, instalând în secret şi dezinstalând alte aplicaţii şi afişând anunţuri nesolicitate.
Analiza Kaspersky Lab arată că cel puţin o altă versiune a aplicaţiei Pokémon Guide a fost disponibilă în Google Play în luna iulie 2016. În plus, cercetătorii au descoperit nouă alte aplicaţii infectate cu acelaşi troian şi disponibile în Google Play, în diferite perioade, începând cu decembrie 2015.
Din informaţiile Kaspersky Lab, reiese că au fost peste 6.000 de infectări reuşite, până în prezent, printre ţări numărându-se Rusia, India şi Indonezia. Aplicaţia fiind creată pentru utilizatorii vorbitori de limbă engleză, este posibil ca şi alte persoane să fi fost afectate.
„În mediul online, oriunde merge un număr mare de utilizatori, vor veni curând şi infractorii cibernetici. Pokémon Go nu este o excepţie, S-ar putea ca victimele acestui troian să nu observe publicitatea deranjantă, cel puţin la început, dar implicaţiile pe termen lung ar putea fi mult mai serioase.
Dacă eşti una dintre victime, atunci o altă persoană se află în interiorul telefonului tău, controlează sistemul de operare şi orice faci sau păstrezi în el. Chiar dacă aplicaţia nu mai există în magazine, o jumătate de million de persoane sunt vulnerabile – şi sper ca acest anunţ să îi pună în gardă, ca să ia măsuri”, a spus Roman Unuchek, Senior Malware Analyst, Kaspersky Lab.
Utilizatorii care bănuiesc că ar putea fi afectaţi de acest troian, ar trebui să instaleze o soluţie de securitate, de tipul Kaspersky Internet Security for Android, pe dispozitivul lor. Dacă, în urma scanării, va rezulta că dispozitivul a fost deja infectat, cea mai bună metodă de a îndepărta programul malware care are drepturi de administrator este să facă backup la date şi să aducă dispozitivul la setările din fabrică.
În plus, Kaspersky Lab le recomandă utilizatorilor să verifice întotdeauna că aplicaţiile pe care le instalează au fost create de un dezvoltator cunoscut, să-şi ţină sistemul de operare şi software-ul de aplicaţii actualizate şi să nu descarce nimic ce pare suspect sau dintr-o sursă care nu poate fi verificată.