15/09/2016

Trojan-poradnik dla Pokémon Go łapie trenerów Pokémonów

Technologie Zagrożenia

W niecałe trzy miesiące po udostępnieniu gry Pokémon Go przestępcy przemycili do sklepu Google Play szkodliwe oprogramowanie, ukierunkowane na trenerów Pokémonów. Kilka dni temu nasi eksperci wykryli pewnego trojana i natychmiast poinformowali o tym Sklep Google. Do tego czasu szkodliwą aplikację o nazwie „Guide for Pokémon Go” pobrano ponad 500 000 razy.

W ciągu kilku ostatnich miesięcy grę Pokémon Go wypróbowało niemal 6 milionów ludzi. Nic więc dziwnego, że tak popularna gra szybko przyciągnęła uwagę także cyberprzestępców: pierwszy szkodliwy program dla Pokémon Go wykryto w lipcu, tuż po pojawieniu się gry. Wtedy nie był on zbyt groźny — trojan czekał w szkodliwym pliku na stosowne okoliczności. Teraz to całkiem inna historia.

Nowy trojan został wykryty w Sklepie Play. Jak przystało na profesjonalne zagrożenie, ukrywał się przed ekspertami bezpieczeństwa w mistrzowski sposób i dokładnie wybierał ofiary. Tym „wybranym” wyświetlał sporo reklam. Ponadto rootował ich urządzenia i instalował wiele innych szkodliwych plików i niechcianych aplikacji.

W jaki sposób działał szkodliwy program?

Aby ukryć malware przed skanerami antywirusowymi, pliki wykonywalne trojana skompresowano komercyjnym programem. Wśród rozpakowanych plików znajdowała się zawartość przydatna dla gry Pokémon Go (która była przykrywką dla trojana) oraz niewielki moduł z zaciemnionym kodem.

Gdy użytkownik zainstalował aplikację „Guide for Pokémon Go”, szkodliwy program czekał po cichu przez jakiś czas. Przerwa ta była celowa: w tym czasie malware rozpoznawało, czy znajduje się na prawdziwym urządzeniu, czy na maszynie wirtualnej — eksperci bezpieczeństwa zwykle korzystają z emulowanego systemu komputerowego, aby sprawdzić, jak zachowuje się podejrzana aplikacja w różnych warunkach.

Jeśli trojan rozpoznał, że znajduje się na rzeczywistym urządzeniu, wysyłał wiadomość do serwera kontrolowanego przez cyberprzestępców. Raport obejmował informację na temat zainfekowanego urządzenia: jego model, wersję systemu operacyjnego, kraj, domyślny język itd.

Serwer analizował informacje, decydował, czy ofiara jest odpowiednia, a następnie informował trojana o swojej decyzji. Za zgodą serwera aplikacja „Guide for Pokémon Go” pobierała inne szkodliwe pliki (których kod także był zaciemniony). Pliki te stanowiły ciężki arsenał trojana: umożliwiały mu wykorzystanie wielu luk wykrytych w latach 2012 a 2015.

Tak uzbrojony szkodliwy program rootował system, po cichu instalował dodatkowe aplikacje i wręcz zalewał telefon reklamami.

Co złego jest w reklamach?

Reklamy rzadko są przyjemne. Ponadto czymś innym jest oglądanie reklam od Google’a — w ten sposób płacisz za jego „darmowe” usługi, a czymś innym jest, gdy przestępcy infekują Twój telefon szkodliwym programem, aby wyświetlać na nim reklamy przez cały czas.

Jednak najgorsza część infekcji jest głęboko ukryta: „Guide for Pokémon Go” może potajemnie zainstalować na urządzeniu dowolną aplikację. Przestępcy wybrali dosyć łagodny sposób na zarabianie: wyświetlanie reklam, ale nie oznacza to, że jutro nie zechcą zwiększyć swoich zarobków poprzez blokowanie zainfekowanych urządzeń i żądanie za nie okupu — lub zaczną kraść pieniądze z kont bankowych.

Chociaż trojan ten został już usunięty ze sklepu Google Play, pobrało go pół miliona ludzi. Na chwilę obecną wiadomo, że trojan infekował urządzenia w Rosji, Indiach i Indonezji, chociaż mamy też sygnały, że atakował również w rejonach angielskojęzycznych, więc na całym świecie z pewnością jest znacznie więcej ofiar.

Jak się chronić?

Jeśli podejrzewasz, że Twoje urządzenie zostało zainfekowane omawianym trojanem, usuń tę aplikację i przeskanuj swoje urządzenie przy użyciu Kaspersky Antivirus & Security. Jest to darmowy program, który wykrywa to zagrożenie jako HEUR:Trojan.AndroidOS.Ztorg.ad.

Aby chronić się w przyszłości, postępuj zgodnie z poniższymi wskazówkami:

  1. Pamiętaj, że nawet jeśli pobierasz aplikacje z oficjalnych sklepów, nie masz 100% pewności, że jest ona bezpieczna. Przestępcy czasami omijają zabezpieczenia Google’a i innych firm — tak właśnie było w przypadku „Guide for Pokémon Go”.
  2. Niezwłocznie instaluj łaty bezpieczeństwa na swoim smartfonie (a także komputerze). Cyberprzestępcy wykorzystują luki w systemach operacyjnych urządzeń mobilnych i stacjonarnych.
  3. Pamiętaj, że oceny i opinie w sklepie Google Play nie zawsze są wiarygodne — przestępcy potrafią oszukiwać je, wykorzystując do tego celu specjalnie utworzone szkodliwe programy. Przykład? „Guide for Pokémon Go” miało tam cztery gwiazdki.