Eksperci z Kaspersky Lab wykryli nową szkodliwą aplikację w Sklepie Play – Guide for Pokémon Go – zdolną do uzyskiwania praw dostępu na poziomie administratora na smartfonach z systemem Android, wykorzystywania ich do instalowania i usuwania innych aplikacji i wyświetlania niechcianych reklam. Szkodliwa aplikacja została pobrana ponad 500 000 razy, powodując co najmniej 6 000 udanych infekcji.
Kaspersky Lab poinformował Google o istnieniu tego trojana i aplikacja została już usunięta ze sklepu Google Play.
Globalne szaleństwo wokół gry Pokémon Go spowodowało wzrost liczby powiązanych aplikacji i, nieuchronnie, wzmożone zainteresowanie ze strony społeczności cyberprzestępczej. Analiza trojana „Guide for Pokémon Go” przeprowadzona przez Kaspersky Lab wykazała niebezpieczny kod, który pobiera szkodliwe oprogramowanie.
Trojan zawiera kilka interesujących funkcji, które pomagają mu uniknąć wykrycia. Na przykład nie aktywuje się w momencie uruchomienia aplikacji przez ofiarę, lecz czeka, aż użytkownik zainstaluje lub odinstaluje kolejną aplikację. Następnie sprawdza, czy ta aplikacja uruchamia się na fizycznym urządzeniu, czy na maszynie wirtualnej. Jeśli ma do czynienia z urządzeniem, trojan czeka kolejne dwie godziny, aby rozpocząć swoją szkodliwą aktywność. Nawet wtedy nie ma pewności, że nastąpi infekcja. Po połączeniu się z cyberprzestępczym serwerem kontroli i wysłaniu szczegółowych danych dotyczących zainfekowanego urządzenia, obejmujących państwo, język, model urządzenia oraz wersję systemu operacyjnego, trojan czeka na odpowiedź. Dopiero po otrzymaniu instrukcji przechodzi do dalszych działań oraz pobierania, instalowania i implementacji dodatkowych szkodliwych modułów.
To oznacza, że serwer kontroli może powstrzymać atak, jeśli takie jest życzenie cyberprzestępców – pomijając na przykład tych użytkowników, którzy nie posiadają odpowiedniej wersji systemu lub uruchamiają aplikacje w emulatorze systemu Android. To stanowi dodatkową warstwę ochrony dla szkodliwego oprogramowania.
Po uzyskaniu praw administratora trojan dodaje swoje moduły do folderów systemowych urządzenia, jednocześnie instalując i usuwając ukradkowo inne aplikacje i wyświetlając na ekranie smartfona lub tabletu niechciane reklamy.
Z analizy przeprowadzonej przez Kaspersky Lab wynika, że w lipcu 2016 r. w Sklepie Play dostępna była przynajmniej jedna inna wersja szkodliwej aplikacji Pokémon Guide. Ponadto badacze zidentyfikowali co najmniej dziesięć innych aplikacji zainfekowanych tym samym trojanem i dostępnych w sklepie Google Play w różnym czasie od grudnia 2015 r.
Z danych Kaspersky Lab wynika, że dotąd miało miejsce ponad 6 000 udanych infekcji. Trojan jest zorientowany na użytkowników angielskojęzycznych.
– W świecie online cyberprzestępcy szybko podążają za użytkownikami. Gra Pokémon Go nie jest wyjątkiem. Ofiary trojana mogą, przynajmniej na początku, nawet nie zauważyć zwiększonej liczby irytujących reklam, ale w dłuższej perspektywie czasowej skutki infekcji mogą okazać się znacznie groźniejsze. Jeśli jesteś ofiarą tego trojana, w Twoim telefonie znajduje się intruz, który ma kontrolę nad systemem operacyjnym oraz wszystkim, co na nim robisz i przechowujesz. Mimo że aplikacja została już usunięta ze sklepu, na infekcję narażonych jest do pół miliona osób – mamy nadzieję, że informacja ta skłonni je do podjęcia działań – powiedział Roman Unuchek, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.
Osoby, które obawiają się, że ich urządzenie może być zainfekowane omawianym trojanem, powinny przeskanować je przy użyciu mobilnego oprogramowania antywirusowego. Jeśli rzeczywiście doszło do infekcji, istnieją narzędzia, które mogą pomóc im w usunięciu szkodliwego oprogramowania.
Ponadto Kaspersky Lab zaleca użytkownikom, aby zawsze sprawdzali, czy pobierana aplikacja została utworzona przez godnego zaufania twórcę, dopilnowali, aby ich system operacyjny i oprogramowanie były aktualne, i nie pobierali niczego, co wygląda podejrzanie.