Не прошло и трех месяцев с момента запуска игры Pokémon Go, как в Google Play появился соответствующий зловред. Наши специалисты обнаружили трояна несколько дней назад и сразу же сообщили о нем в Google. К сожалению, к тому моменту вредоносное приложение Guide for Pokémon Go было загружено уже более 500 тысяч раз.
За последние месяцы почти 6 млн человек успели опробовать Pokémon Go. Преступников популярная игрушка тоже заинтересовала: первые версии вредоносных приложений для тренеров покемонов появились уже в июле, вскоре после запуска игры. В тот раз зловред был обнаружен в одном из подпольных хранилищ приложений. А вот создателям трояна Guide for Pokémon Go удалось пробраться в официальный Google Play Store.
Троянец интересен сам по себе: он ведет себя очень умно и осторожно и умело прячется от исследователей. Взломанным пользователям троян показывает рекламу — много рекламы. А еще он умеет получать права суперпользователя и устанавливать на смартфон другие вредоносные программы.
Как это работает?
Чтобы не привлекать лишнего внимания, исполняемые файлы трояна зашифрованы коммерческим упаковщиком. Антивирусам сложнее обнаружить код, измененный таким образом. Распакованные файлы содержат полезные материалы по Pokémon Go, которые нужны трояну для поддержания «легенды», и небольшой модуль со специально запутанным (или, как говорят специалисты, обфусцированным) кодом.
После установки троян какое-то время выжидает. Поступает он так не без причины: ему нужно провести разведку и понять, где он оказался — в смартфоне жертвы или на виртуальной машине, системе, которую специалисты по безопасности используют для проверки того, как поведет себя подозрительная программа.
Вот уже больше года любящие музыку пользователи «ВКонтакте» дарят свои пароли мошенникам… https://t.co/nLGxpNbWst pic.twitter.com/zHv4V1MBv9
— Kaspersky (@Kaspersky_ru) September 13, 2016
Разобравшись в обстановке, троян докладывает преступникам на командный сервер, что за устройство он заразил: его модель, версию ОС, установленный по умолчанию язык, а также в какой стране оно находится.
Следуя заданным настройкам, сервер решает, интересна ему эта жертва или нет, и сообщает о своем решении трояну. Если да — зловред скачивает и устанавливает дополнительные вредоносные файлы, код которых также специально запутан. Эти файлы — основное оружие трояна, которое позволяет ему использовать уязвимости, обнаруженные в 2012–2015 годах.
Хорошенько вооружившись, троян взламывает систему, чтобы получить права суперпользователя, устанавливает дополнительные приложения и начинает показывать жертве рекламу.
Разве реклама — это очень опасно?
В рекламе самой по себе нет ничего приятного. Кроме того, одно дело, когда рекламу вам показывает Google, — просмотром рекламы вы оплачиваете все те многочисленные сервисы, которые компания вам предоставляет. Совсем другое дело, когда баннеры крутят какие-то совершенно посторонние жулики, пробравшиеся к вам в смартфон с помощью вредоносного приложения.
Но самое неприятное в другом: данный троян опасен тем, что он может незаметно устанавливать в ваш смартфон любые приложения. Сегодня злоумышленники выбрали не самый разрушительный способ заработка — показ рекламы. Завтра им захочется больше денег, и они начнут распространять через того же трояна более опасные штуки вроде вымогателя, блокирующего смартфон, или программы, ворующей деньги с ваших банковских счетов.
Объясняем, почему вам не стоит верить оценкам и отзывам в Google Play: https://t.co/wlnDtq1kn1 pic.twitter.com/8Plj6GryoN
— Kaspersky (@Kaspersky_ru) August 30, 2016
Хотя трояна уже удалили из Play Store, его уже успели скачать полмиллиона человек. Точно пострадали жители России, Индии и Индонезии. Троянец охотится на пользователей из англоговорящих регионов, где наверняка могут быть и другие жертвы.
Как защититься?
Если вы подозреваете, что этот троянец мог добраться до вашего устройства, вам стоит удалить вредоносное приложение и проверить свое устройство с помощью Kaspersky Antivirus & Security для Android. Это бесплатно. Наши решения определяют этого трояна как Trojan as HEUR:Trojan.AndroidOS.Ztorg.ad.
Пока вы ловите покемонов, преступники пытаются поймать вас в Google Play
Tweet
Чтобы не допустить повторения инцидента, стоит придерживаться следующих правил:
1. Даже если вы скачиваете приложения только из официальных магазинов, помните: они не безопасны на 100%. Преступники умеют обходить защиту того же Google, и Guide for Pokémon Go тому отличный пример.
2. Преступники используют уязвимости в мобильных операционных системах точно так же, как и на ПК. Поэтому важно устанавливать на смартфон все обновления безопасности.
3. Помните, что рейтинги и отзывы на Google Play также ничего не значат, так как киберпреступники научились подделывать их с помощью вредоносного ПО. Например, у Guide for Pokémon Go был рейтинг «4 звезды». Поэтому, если приложение кажется вам подозрительным, не устанавливайте его, даже если у него хорошие рекомендации.