Alerta: o aplicatie Pokemon GO infectata cu virusi

275

Experții Kaspersky Lab au descoperit o nouă aplicație malware în Google Play: “Ghid pentru Pokémon Go” (“Guide for Pokémon Go”), capabilă să obțină drepturi de acces pe smartphone-urile cu Android și apoi să instaleze/dezinstaleze aplicații și să afișeze publicitate nesolicitată. Aplicația a fost descărcată de peste 500.000 de ori, având cel puțin 6.000 de infectări reușite. Kaspersky Lab a anunțat Google despre prezența acestui troian, iar aplicația a fost scoasă din Google Play.

Fenomenul global Pokémon Go a dat naștere unui număr tot mai mare de aplicații conexe și, inevitabil, unui interes la fel de mare din partea comunității de infractori cibernetici. Analiza Kaspersky Lab asupra troianului “Ghid pentru Pokémon Go” a scos la iveală un cod malware care reușește să obțină acces de administrator în sistemul de operare Android pentru a instala și a dezinstala alte aplicații, precum și pentru afișarea de reclame.

Troianul are unele caracteristici interesante care îl ajută să nu fie detectat. De exemplu, nu începe să acționeze imediat ce victima instalează și deschide aplicația. În schimb, așteaptă ca utilizatorul să instaleze sau să dezinstaleze o altă aplicație, iar apoi verifică dacă aplicația funcționează pe un dispozitiv real sau pe unul virtual. Dacă are de-a face cu un dispozitiv real, troianul așteaptă încă două ore înainte de a-și începe activitatea. Nici în acel moment nu este sigur că s-a produs infectarea. După ce se conectează la serverul lui de comandă și control și își uploadează informații despre dispozitivul infectat: model, țara din care provine, limba și versiunea de OS, troianul va aștepta un răspuns. Doar în cazul în care primește răspunsul va continua cu alte solicitări și cu descărcarea, instalarea și implementarea unor module malware suplimentare.

Parcurgerea acestor etape înseamnă că serverul de control poate opri atacul dacă vrea – poate sări utilizatorii pe care nu îi are în vedere sau pe aceia în spatele cărora bănuiește că se află un dispozitiv virtual, de exemplu. Astfel, programul malware are o protecție suplimentară.

După ce primește drepturi de administrator, troianul își va instala modulele în sistemul de fișiere al dispozitivului, instalând în secret și dezinstalând alte aplicații și afișând anunțuri nesolicitate.
Analiza Kaspersky Lab arată că cel puțin o altă versiune a aplicației Pokémon Guide a fost disponibilă în Google Play în luna iulie 2016. În plus, cercetătorii au descoperit nouă alte aplicații infectate cu același troian și disponibile în Google Play, în diferite perioade, începând cu decembrie 2015.

Din informațiile Kaspersky Lab, reiese că au fost peste 6.000 de infectări reușite, până în prezent, printre țări numărându-se Rusia, India și Indonezia. Aplicația fiind creată pentru utilizatorii vorbitori de limbă engleză, este posibil ca și alte persoane să fi fost afectate.

Utilizatorii care bănuiesc că ar putea fi afectați de acest troian, ar trebui să instaleze o soluție de securitate, de tipul Kaspersky Internet Security for Android, pe dispozitivul lor, Dacă, în urma scanării, va rezulta că dispozitivul a fost deja infectat, cea mai bună metodă de a îndepărta programul malware care are drepturi de administrator este să facă backup la date și să aducă dispozitivul la setările din fabrică. În plus, Kaspersky Lab le recomandă utilizatorilor să verifice întotdeauna că aplicațiile pe care le instalează au fost create de un dezvoltator cunoscut, să-și țină sistemul de operare și software-ul de aplicații actualizate și să nu descarce nimic ce pare suspect sau dintr-o sursă care nu poate fi verificată.