Fenomenul global Pokémon Go a dat naștere unui număr tot mai mare de aplicații conexe și, inevitabil, unui interes la fel de mare din partea comunității de infractori cibernetici. Analiza Kaspersky Lab asupra troianului “Ghid pentru Pokémon Go” a scos la iveală un cod malware care reușește să obțină acces de administrator în sistemul de operare Android pentru a instala și a dezinstala alte aplicații, precum și pentru afișarea de reclame.
Troianul are unele caracteristici interesante care îl ajută să nu fie detectat. De exemplu, nu începe să acționeze imediat ce victima instalează și deschide aplicația. În schimb, așteaptă ca utilizatorul să instaleze sau să dezinstaleze o altă aplicație, iar apoi verifică dacă aplicația funcționează pe un dispozitiv real sau pe unul virtual. Dacă are de-a face cu un dispozitiv real, troianul așteaptă încă două ore înainte de a-și începe activitatea. Nici în acel moment nu este sigur că s-a produs infectarea. După ce se conectează la serverul lui de comandă și control și își uploadează informații despre dispozitivul infectat: model, țara din care provine, limba și versiunea de OS, troianul va aștepta un răspuns. Doar în cazul în care primește răspunsul va continua cu alte solicitări și cu descărcarea, instalarea și implementarea unor module malware suplimentare.
Parcurgerea acestor etape înseamnă că serverul de control poate opri atacul dacă vrea – poate sări utilizatorii pe care nu îi are în vedere sau pe aceia în spatele cărora bănuiește că se află un dispozitiv virtual, de exemplu. Astfel, programul malware are o protecție suplimentară.
După ce primește drepturi de administrator, troianul își va instala modulele în sistemul de fișiere al dispozitivului, instalând în secret și dezinstalând alte aplicații și afișând anunțuri nesolicitate.
Analiza Kaspersky Lab arată că cel puțin o altă versiune a aplicației Pokémon Guide a fost disponibilă în Google Play în luna iulie 2016. În plus, cercetătorii au descoperit nouă alte aplicații infectate cu același troian și disponibile în Google Play, în diferite perioade, începând cu decembrie 2015.
Din informațiile Kaspersky Lab, reiese că au fost peste 6.000 de infectări reușite, până în prezent, printre țări numărându-se Rusia, India și Indonezia. Aplicația fiind creată pentru utilizatorii vorbitori de limbă engleză, este posibil ca și alte persoane să fi fost afectate.
“În mediul online, oriunde merge un număr mare de utilizatori, vor veni curând și infractorii cibernetici. Pokémon Go nu este o excepție, S-ar putea ca victimele acestui troian să nu observe publicitatea deranjantă, cel puțin la început, dar implicațiile pe termen lung ar putea fi mult mai serioase. Dacă ești una dintre victime, atunci o altă persoană se află în interiorul telefonului tău, controlează sistemul de operare și orice faci sau păstrezi în el. Chiar dacă aplicația nu mai există în magazine, o jumătate de million de persoane sunt vulnerabile – și sper ca acest anunț să îi pună în gardă, ca să ia măsuri”, a spus Roman Unuchek, Senior Malware Analyst, Kaspersky Lab.
Utilizatorii care bănuiesc că ar putea fi afectați de acest troian, ar trebui să instaleze o soluție de securitate, de tipul Kaspersky Internet Security for Android, pe dispozitivul lor, Dacă, în urma scanării, va rezulta că dispozitivul a fost deja infectat, cea mai bună metodă de a îndepărta programul malware care are drepturi de administrator este să facă backup la date și să aducă dispozitivul la setările din fabrică. În plus, Kaspersky Lab le recomandă utilizatorilor să verifice întotdeauna că aplicațiile pe care le instalează au fost create de un dezvoltator cunoscut, să-și țină sistemul de operare și software-ul de aplicații actualizate și să nu descarce nimic ce pare suspect sau dintr-o sursă care nu poate fi verificată.