Gli esperti di Kaspersky Lab hanno scoperto una nuova app nociva sul Play Store di Google: “Guide for Pokémon Go”, in grado di ottenere i diritti di accesso root sugli smartphone Android e usarli per installare o disinstallare app e visualizzare messaggi pubblicitari indesiderati. L’app è stata scaricata più di 500.000 volte, con almeno 6.000 infezioni riuscite. Kaspersky Lab ha avvertito Google del trojan e l’app è stata rimossa da Google Play.
Il fenomeno globale di Pokémon Go ha comportato un numero crescente di app dedicate e, inevitabilmente, un aumento dell’interesse da parte della comunità dei cyber criminali. L’analisi di Kaspersky Lab del trojan “Guide for Pokémon Go” ha permesso di scoprire il codice nocivo che avvia il download di un malware che effettua il root del dispositivo, garantendo l’accesso al cuore del sistema operativo Android allo scopo di installare e rimuovere app, così come visualizzare banner pubblicitari.
Il trojan presenta alcune caratteristiche interessanti che lo aiutano a non essere rilevato. Ad esempio, non si avvia nello stesso momento in cui la vittima lancia l’app, ma aspetta che l’utente ne installi o disinstalli un’altra e controlla poi se tale app opera su un dispositivo reale o su una macchina virtuale. Se si tratta di un dispositivo, il trojan aspetta altre due ore prima di iniziare la propria attività nociva. Tuttavia, anche in questo modo l’infezione non è garantita. Dopo essersi connesso al proprio server di comando e aver effettuato l’upload delle informazioni sul dispositivo infettato, inclusi Paese, lingua, modello del dispositivo e versione del sistema operativo, il trojan aspetta una risposta. Solo dopo averla ricevuta, procederà con ulteriori richieste e il download, l’installazione e l’implementazione di moduli malware aggiuntivi.
Questo approccio permette al server di controllo di fermare l’attacco, evitando di colpire quegli utenti che non vuole prendere di mira o quelli che sospetta siano, ad esempio, una sandbox o una macchina virtuale. Questo offre al malware un ulteriore livello di protezione.
Una volta abilitati i diritti di root, il trojan installa i propri moduli nelle cartelle di sistema del dispositivo, installando o disinstallando di nascosto altre app o banner pubblicitari indesiderati.
L’analisi di Kaspersky Lab mostra che è stata disponibile su Google Play almeno un’altra versione dell’app nociva Pokémon Guide a luglio 2016. Inoltre, i ricercatori sono risaliti ad almeno nove altre app infettate dallo stesso trojan e disponibili sul Play Store di Google in diversi momenti a partire da dicembre 2015.
I dati in nostro possesso suggeriscono che, al momento, ci siano state oltre 6.000 infezioni andate a buon fine, tra cui in Russia, India e Indonesia. Tuttavia, da quando l’app si è rivolta agli utenti di lingua inglese, anche i giocatori di queste aree, e altre ancora, hanno maggiori possibilità di essere colpiti.
“Nel mondo online, ovunque vadano gli utenti, i cyber criminali saranno rapidi a seguirli. Pokémon Go non è un’eccezione. Le vittime di questo trojan potrebbero, almeno inizialmente, non aver notato l’aumento di fastidiose pubblicità, ma le conseguenze a lungo termine dell’infezione potrebbero essere molto più gravi. Se siete stati colpiti, significa che qualcuno è entrato nel vostro cellulare e ha il controllo del sistema operativo e di tutto quello che viene fatto e archiviato. Anche se l’app è già stata rimossa dallo store, oltre mezzo milione di persone là fuori sono state colpite. E noi speriamo che questo annuncio li aiuti a capire la necessità di prendere provvedimenti”, ha commentato Roman Unuchek, Senior Malware Analyst di Kaspersky Lab.
Chi ha paura di incontrare questo trojan, dovrebbe installare sul proprio dispositivo una soluzione di sicurezza affidabile come Kaspersky Internet Security for Android. Se l’infezione ha già avuto luogo, il modo migliore per rimuovere il malware è fare il backup di tutti i dati e ripristinare le impostazioni di fabbrica del dispositivo.
Inoltre, Kaspersky Lab consiglia agli utenti di controllare sempre che le app siano state create da uno sviluppatore affidabile, tenere aggiornati il sistema operativo e il software applicativo e non scaricare nulla che sembri sospetto o la cui fonte non può essere verificata.