Какие покемоны охотятся на пользователей: «Лаборатория Касперского» обнаружила зловред, прикрывающийся именем популярной игры
«Лаборатория Касперского» обнаружила в официальном магазинеGooglePlayвредоносное приложениеGuideforPokémonGo, содержащего троянца, который заражает устройстваAndroidи, приобретая права суперпользователя, получает над ними полный контроль. По оценкам экспертов компании, жертвами зловреда, эксплуатирующего невероятно высокую популярность мобильной игры, потенциально могут стать более 500 тысяч пользователей – именно столько раз было скачано вредоносное приложение. К настоящему моменту эксперты имеют данные о более чем 6 тысячах подтвержденных заражений большей частью в России, Индии и Индонезии.
Троянец, содержащийся в приложенииGuideforPokémonGo, использует уязвимости операционной системы для получения прав суперпользователя и способен загружать на устройство дополнительные вредоносные модули и программы, а также демонстрировать навязчивую рекламу. При этом сам зловред обладает весьма интересными функциями, которые помогают ему избегать обнаружения. К примеру, троянец не начинает работать в момент запуска вредоносного приложения. Он ждет, когда пользователь установит или удалит какое-либо другое приложение, затем проверяет, что попал на реальное устройство, а не виртуальное. Но даже после этого троянец ждет еще пару часов, прежде чем начать работу.
Примечательно, что функционирование зловреда не является полностью автоматическим процессом. Троянец передает на сервер злоумышленников информацию о зараженном устройстве (страну, язык, модель гаджета и версию ОС) и ждет ответа. Только в случае одобрения, полученного от командно-контрольного сервера, зловред приступает к скачиванию, установке и запуску дополнительных вредоносных модулей. Таким образом киберпреступники отбирают только интересующих их жертв, избегая тех пользователей, которые не попадают в их целевую аудиторию, и исключая из «выборки» возможные виртуальные машины.
В настоящее время приложениеGuideforPokémonGoудалено изGooglePlay, а защитные решения «Лаборатории Касперского» детектируют троянскую программу какHEUR:Trojan.AndroidOS.Ztorg.ad. Вместе с тем это уже не первый случай появления подобных вредоносных приложений в официальном магазине – эксперты компании насчитали по меньшей мере 9 различных приложений с тем же вредоносным модулем, которые были доступны вGooglePlayв разное время начиная с декабря 2015 года.
«Куда бы ни направился пользователь в онлайн-мире, киберпреступники немедленно последуют за ним. И Pokémon Go не исключение. Жертвы конкретно этого троянца могут поначалу даже и не заметить присутствия зловреда в своем смартфоне и будут просто злиться от избытка навязчивой рекламы. Однако последствия такого заражения могут быть куда более серьезными – ведь этот троянец получает контроль над всем устройством, включая все данные и файлы, которые пользователь хранит на нем», – рассказывает Роман Унучек, антивирусный эксперт «Лаборатории Касперского».
Прежде чем скачивать какое-либо приложение, даже из официального магазина, «Лаборатория Касперского» рекомендует пользователям поверять легитимность разработчика. Также эксперты компании советуют регулярно обновлять операционную систему и все имеющиеся на устройстве программы – это может спасти от заражения зловредами, эксплуатирующими уязвимости.
Подробнее об угрозе, исходящей от вредоносного приложенияPokémonGoGuide, читайте в отчете «Лаборатории Касперского»:https://securelist.com/blog/mobile/76081/rooting-pokemons-in-google-play-store/.
