Троян в фальшивом приложении Pokémon Go получает полный контроль над устройством

Безопасность Пользователю Интернет Веб-сервисы MobileB2B
мобильная версия
, Текст: Татьяна Короткова

«Лаборатория Касперского» обнаружила в официальном магазине Google Play вредоносное приложение Guide for Pokémon Go, содержащее трояна, который заражает устройства Android и, приобретая права суперпользователя, получает над ними полный контроль. По оценкам экспертов компании, жертвами зловреда, эксплуатирующего популярность мобильной игры, потенциально могут стать более 500 тыс. пользователей — именно столько раз было скачано вредоносное приложение. К настоящему моменту эксперты имеют данные о более чем 6 тыс. подтвержденных заражений большей частью в России, Индии и Индонезии, сообщили CNews в «Лаборатории Касперского».

Троян, содержащийся в приложении Guide for Pokémon Go, использует уязвимости операционной системы для получения прав суперпользователя и способен загружать на устройство дополнительные вредоносные модули и программы, а также демонстрировать навязчивую рекламу. При этом сам зловред обладает интересными функциями, которые помогают ему избегать обнаружения. К примеру, троян не начинает работать в момент запуска вредоносного приложения. Он ждет, когда пользователь установит или удалит какое-либо другое приложение, затем проверяет, что попал на реальное устройство, а не виртуальное. Но даже после этого троян ждет еще пару часов, прежде чем начать работу.

Примечательно, что функционирование зловреда не является полностью автоматическим процессом. Троян передает на сервер злоумышленников информацию о зараженном устройстве (страну, язык, модель гаджета и версию ОС) и ждет ответа. Только в случае одобрения, полученного от командно-контрольного сервера, зловред приступает к скачиванию, установке и запуску дополнительных вредоносных модулей. Таким образом киберпреступники отбирают только интересующих их жертв, избегая тех пользователей, которые не попадают в их целевую аудиторию, и исключая из «выборки» возможные виртуальные машины, отметили в компании.

В настоящее время приложение Guide for Pokémon Go удалено из Google Play, а защитные решения «Лаборатории Касперского» детектируют троянскую программу как HEUR:Trojan.AndroidOS.Ztorg.ad. Вместе с тем, это уже не первый случай появления подобных вредоносных приложений в официальном магазине — эксперты компании насчитали по меньшей мере 9 различных приложений с тем же вредоносным модулем, которые были доступны в Google Play в разное время начиная с декабря 2015 г.

«Куда бы ни направился пользователь в онлайн-мире, киберпреступники немедленно последуют за ним. И Pokémon Go не исключение. Жертвы конкретно этого трояна могут поначалу даже и не заметить присутствия зловреда в своем смартфоне и будут просто злиться от избытка навязчивой рекламы. Однако последствия такого заражения могут быть куда более серьезными — ведь этот троян получает контроль над всем устройством, включая все данные и файлы, которые пользователь хранит на нем», — подчеркнул Роман Унучек, антивирусный эксперт «Лаборатории Касперского».

Прежде чем скачивать какое-либо приложение, даже из официального магазина, «Лаборатория Касперского» рекомендует пользователям поверять легитимность разработчика. Также эксперты компании советуют регулярно обновлять операционную систему и все имеющиеся на устройстве программы — это может спасти от заражения зловредами, эксплуатирующими уязвимости.