Stručnjaci iz kompanije Kaspersky Lab otkrili su novu malicioznu aplikaciju na servisu Google Play Store pod nazivom „Guide for Pokémon Go”. Preko ove aplikacije, napadači pristupaju sistemskim datotekama na Android telefonima i na taj način instaliraju dodatne maliciozne aplikacije. Aplikacija je preuzeta više od 500.000 puta, pri čemu je zabeleženo više od 6 hiljada uspešnih infekcija. Kompanija Kaspersky Lab je prijavila kompaniji Google ovaj incident i aplikacija je uklonjena sa Google Play Store servisa.
Globalni fenomen Pokémon Go aplikacije imao je za posledicu nastanak brojnih aplikacija koje se dovode u vezu sa samom igricom, što je neminovno povećalo interesovanje sajber kriminalaca za ovu aplikaciju. Analizom maliciozne aplikacije „Guide for Pokémon Go”, koju su sproveli stručnjaci iz kompanije Kaspersky Lab, uočen je maliciozni kod koji preuzima malver koji omogućuje pristup sistemskim datotekama telefona, i na taj način dobija pristup Android operativnom sistemu i omogućuje virusu da instalira i uklanja dodatne aplikacije.
Ovaj trojan virus ima određene karakteristike koje mu omogućuju da izbegne detekciju. Na primer, on se ne aktivira istog trenutka kada žrtva pokrene aplikaciju. Umesto toga, on čeka da korisnik instalira ili izbriše neku drugu aplikaciju kako bi ustanovio da li aplikacija radi na pravom uređaju ili virtuelnoj mašini. Ako je u pitanju pravi uređaj, trojan virus će čekati čitava 2 sata pre nego što počne da sprovodi svoje maliciozne aktivnosti. Čak i u tom trenutku, infekcija nije garantovana. Nakon povezivanja sa komandnim centrom i slanja detalja o inficiranom uređaju, kao što su lokacija, jezik, model uređaja i verzija operativnog sistema, trojan virus će čekati dalje instrukcije od servera. Tek nakon dobijanja povratnih informacija, virus može da nastavi sa malicioznim radnjama, kao što je preuzimanje i instalacija dodatnih malver modula.
Koristeći ovaj pristup, kontrolni server ima sposobnost da prekine napad ako to želi, i na taj način izbegne targetiranje korisnika koje ne želi da napadne, ili korsnika za koje smatra da koriste sandbox/virtualne mašine. Na taj način, kriminalci obezbeđuju dodatnu zaštitu za malver.
Analiza koju je sprovela kompanija Kaspersky Lab ukazala je na činjenicu da je makar još jedna verzija maliciozne aplikacije „Pokémon Guide“ bila dostupna na servisu Google Play Store u julu 2016. godine. Daljim istraživanjem, stručnjaci su otkrili dodatnih devet aplikacija koje su bile inficirane istim trojan virusom, a bile su dostupne na Google Play Store servisu od decembra 2015. godine.
Podaci kompanije Kaspersky Lab ukazuju na to da je zabeleženo više od 6 hiljada uspešnih infekcija u zemljama kao što su Rusija, Indija i Indonezija. Međutim, budući da je aplikacija usmerena ka korisnicima koji govore engleski jezik, velika je verovatnoća da su i ljudi iz ovih geografskih područja takođe pogođeni infekcijama.
„U današnjem onlajn svetu, sajber kriminalci u stopu prate korisnike i njihove digitalne navike. Isto je i sa igricom Pokémon Go koja je stekla globalnu popularnost. Žrtve ovog trojan virusa možda na početku i neće uočiti sve veći broj nametljivih reklama, ali dugoročne posledice infekcije mogu biti znatno ozbiljnije. Ako su korisnici postali žrtva infekcije, to znači da neko drugi ima kontrolu nad njihovim operativnim sistemom i svim podacima koji se nalaze na njemu. Iako je aplikacija uklonjena sa Google Play Store servisa, oko 500.000 korisnika je i dalje izloženo riziku od infekcije. Nadamo se da će ih ovo saopštenje naterati da budu obazriviji i da će preduzeti konkretne bezbednosne mere”, izjavio je Roman Unuček (Roman Unuchek), viši malver analitičar u kompaniji Kaspersky Lab.
Korisnici koji smatraju da su njihovi uređaji možda inifcirani ovim trojan virusom, trebalo bi da skeniraju uređaje putem mobilnih antivirus rešenja.
Pored toga, stručnjaci iz kompanije Kaspersky Lab savetuju korisnike da uvek proveravaju da li je aplikaciju koju žele da preuzmu kreirao pouzdan autor, da redovno ažuriraju operativni sistem i softver, kao i da ne preuzimaju sadržaj koji ima sumnjivo poreklo.