Experții în IT de la Kaspersky Lab au descoperit o nouă aplicație malware care se află în Google Play. Aplicația se numeșete Guide for Pokémon Go, și poate să obțină drepturi de acces pe smartphone-urile cu Android și apoi să instaleze/dezinstaleze aplicații și să afișeze publicitate nesolicitată, aceasta fiind descărcată de peste 500.000 de ori, cu cel puțin 6.000 de infectări reușite.
Kaspersky Lab a anunțat deja Google despre prezența acestui troian, iar aplicația a fost scoasă din Google Play, dar deja peste o jumătate de milion de persoane sunt vulnerabile.
„Fenomenul global Pokémon Go a dat naștere unui număr tot mai mare de aplicații conexe și, inevitabil, unui interes la fel de mare din partea comunității de infractori cibernetici. Analiza Kaspersky Lab asupra troianului ‘Ghid pentru Pokémon Go’ a scos la iveală un cod malware care reușește să obțină acces de administrator în sistemul de operare Android pentru a instala și a dezinstala alte aplicații, precum și pentru afișarea de reclame. Troianul are unele caracteristici interesante care îl ajută să nu fie detectat. De exemplu, nu începe să acționeze imediat ce victima instalează și deschide aplicația. În schimb, așteaptă ca utilizatorul să instaleze sau să dezinstaleze o altă aplicație, iar apoi verifică dacă aplicația funcționează pe un dispozitiv real sau pe unul virtual. Dacă are de-a face cu un dispozitiv real, troianul așteaptă încă două ore înainte de a-și începe activitatea. Nici în acel moment nu este sigur că s-a produs infectarea. După ce se conectează la serverul lui de comandă și control și își uploadează informații despre dispozitivul infectat: model, țara din care provine, limba și versiunea de OS, troianul va aștepta un răspuns. Doar în cazul în care primește răspunsul va continua cu alte solicitări și cu descărcarea, instalarea și implementarea unor module malware suplimentare”, explică specialiștii.
Parcurgerea acestor etape înseamnă că serverul de control poate opri atacul dacă vrea — poate sări utilizatorii pe care nu îi are în vedere sau pe aceia în spatele cărora bănuiește că se află un dispozitiv virtual, de exemplu. Astfel, programul malware are o protecție suplimentară. După ce primește drepturi de administrator, troianul își va instala modulele în sistemul de fișiere al dispozitivului, instalând în secret și dezinstalând alte aplicații și afișând anunțuri nesolicitate, precizează aceștia.
Analiza Kaspersky Lab arată că cel puțin o altă versiune a aplicației Pokémon Guide a fost disponibilă în Google Play în luna iulie 2016. În plus, cercetătorii au descoperit nouă alte aplicații infectate cu același troian și disponibile în Google Play, în diferite perioade, începând cu decembrie 2015.
„În mediul online, oriunde merge un număr mare de utilizatori, vor veni curând și infractorii cibernetici. Pokémon Go nu este o excepție. S-ar putea ca victimele acestui troian să nu observe publicitatea deranjantă, cel puțin la început, dar implicațiile pe termen lung ar putea fi mult mai serioase. Dacă ești una dintre victime, atunci o altă persoană se află în interiorul telefonului tău, controlează sistemul de operare și orice faci sau păstrezi în el. Chiar dacă aplicația nu mai există în magazine, o jumătate de milion de persoane sunt vulnerabile — și sper ca acest anunț să îi pună în gardă, ca să ia măsuri’, a spus Roman Unuchek, Senior Malware Analyst, Kaspersky Lab.