Cei de la Kaspersky Lab au descoperit o nouă aplicație de tip malware în Google Play, sub forma unui ghid pentru jucătorii de Pokemon Go. “Guide for Pokémon Go”, este o aplicație capabilă să obțină drepturi de acces pe smartphone-urile cu Android și apoi să instaleze/dezinstaleze aplicații și să afișeze publicitate nesolicitată. Chiar dacă în urma notificării Google de către Kaspersky Lab, aplicația a fost scoasă din Google Play, ea a fost totuși descărcată de peste 500.000 de ori, având cel puțin 6.000 de infectări reușite.
Fenomenul global Pokémon Go a dat naștere unui număr tot mai mare de aplicații conexe și, inevitabil, unui interes la fel de mare din partea comunității de infractori cibernetici. Analiza Kaspersky Lab asupra troianului “Ghid pentru Pokémon Go” a scos la iveală un cod malware care reușește să obțină acces de administrator în sistemul de operare Android pentru a instala și a dezinstala alte aplicații, precum și pentru afișarea de reclame.
Troianul are unele caracteristici interesante care îl ajută să nu fie detectat. De exemplu, nu începe să acționeze imediat ce victima instalează și deschide aplicația. În schimb, așteaptă ca utilizatorul să instaleze sau să dezinstaleze o altă aplicație, iar apoi verifică dacă aplicația funcționează pe un dispozitiv real sau pe unul virtual. Dacă are de-a face cu un dispozitiv real, troianul așteaptă încă două ore înainte de a-și începe activitatea. Nici în acel moment nu este sigur că s-a produs infectarea. După ce se conectează la serverul lui de comandă și control și își uploadează informații despre dispozitivul infectat: model, țara din care provine, limba și versiunea de OS, troianul va aștepta un răspuns. Doar în cazul în care primește răspunsul va continua cu alte solicitări și cu descărcarea, instalarea și implementarea unor module malware suplimentare.
Parcurgerea acestor etape înseamnă că serverul de control poate opri atacul dacă vrea – poate sări utilizatorii pe care nu îi are în vedere sau pe aceia în spatele cărora bănuiește că se află un dispozitiv virtual, de exemplu. Astfel, programul malware are o protecție suplimentară.
După ce primește drepturi de administrator, troianul își va instala modulele în sistemul de fișiere al dispozitivului, instalând în secret și dezinstalând alte aplicații și afișând anunțuri nesolicitate.
Dacă sunteți un jucător de Pokemon Go (în ciuda interesului în scădere pentru acest titlu) și ați instalat recent o astfel de aplicație, trebuie să realizați rapid o scanare cu o soluție de securitate pentru dispozitive mobile.
