O falsa aplicatie de Pokemon Go ce poate prelua controlul asupra telefoanelor cu Android a fost descarcata de peste 500.000 de ori

Joi, 15 septembrie 2016, 17:48 Economie | IT

​Expertii Kaspersky Lab au descoperit o noua aplicatie malware in Google Play: “Ghid pentru Pokémon Go” (“Guide for Pokémon Go”), capabila sa obtina drepturi de acces pe smartphone-urile cu Android si apoi sa instaleze/dezinstaleze aplicatii si sa afiseze publicitate nesolicitata.  Aplicatia a fost descarcata de peste 500.000 de ori, avand cel putin 6.000 de infectari reusite. Kaspersky Lab a anuntat Google despre prezenta acestui troian, iar aplicatia a fost scoasa din Google Play.

Fenomenul global Pokémon Go a dat nastere unui numar tot mai mare de aplicatii conexe si, inevitabil, unui interes la fel de mare din partea comunitatii de infractori cibernetici. Analiza Kaspersky Lab asupra troianului “Ghid pentru Pokémon Go” a scos la iveala un cod malware care reuseste sa obtina acces de administrator in sistemul de operare Android pentru a instala si a dezinstala alte aplicatii, precum si pentru afisarea de reclame.

Troianul are unele caracteristici interesante care il ajuta sa nu fie detectat. De exemplu, nu incepe sa actioneze imediat ce victima instaleaza si deschide aplicatia. In schimb, asteapta ca utilizatorul sa instaleze sau sa dezinstaleze o alta aplicatie, iar apoi verifica daca aplicatia functioneaza pe un dispozitiv real sau pe unul virtual. Daca are de-a face cu un dispozitiv real, troianul asteapta inca doua ore inainte de a-si incepe activitatea. Nici in acel moment nu este sigur ca s-a produs infectarea.

Dupa ce se conecteaza la serverul lui de comanda si control si isi uploadeaza informatii despre dispozitivul infectat: model, tara din care provine, limba si versiunea de OS, troianul va astepta un raspuns. Doar in cazul in care primeste raspunsul va continua cu alte solicitari si cu descarcarea, instalarea si implementarea unor module malware suplimentare.

Parcurgerea acestor etape inseamna ca serverul de control poate opri atacul daca vrea – poate sari utilizatorii pe care nu ii are in vedere sau pe aceia in spatele carora banuieste ca se afla un dispozitiv virtual, de exemplu. Astfel, programul malware are o protectie suplimentara.

Dupa ce primeste drepturi de administrator, troianul isi va instala modulele in sistemul de fisiere al dispozitivului, instaland in secret si dezinstaland alte aplicatii si afisand anunturi nesolicitate.

Analiza Kaspersky Lab arata ca cel putin o alta versiune a aplicatiei Pokémon Guide a fost disponibila in Google Play in luna iulie 2016. In plus, cercetatorii au descoperit noua alte aplicatii infectate cu acelasi troian si disponibile in Google Play, in diferite perioade, incepand cu decembrie 2015.

Din informatiile Kaspersky Lab, reiese ca au fost peste 6.000 de infectari reusite, pana in prezent, printre tari numarandu-se Rusia, India si Indonezia. Aplicatia fiind creata pentru utilizatorii vorbitori de limba engleza, este posibil ca si alte persoane sa fi fost afectate.

 “In mediul online, oriunde merge un numar mare de utilizatori, vor veni curand si infractorii cibernetici. Pokémon Go nu este o exceptie, S-ar putea ca victimele acestui troian sa nu observe publicitatea deranjanta, cel putin la inceput, dar implicatiile pe termen lung ar putea fi mult mai serioase. Daca esti una dintre victime, atunci o alta persoana se afla in interiorul telefonului tau, controleaza sistemul de operare si orice faci sau pastrezi in el. Chiar daca aplicatia nu mai exista in magazine, o jumatate de million de persoane sunt vulnerabile - si sper ca acest anunt sa ii puna in garda, ca sa ia masuri”, a spus Roman Unuchek, Senior Malware Analyst, Kaspersky Lab.