ЛК обнаружила зловред, прикрывающийся именем популярной игры

ЛК обнаружила зловред, прикрывающийся именем популярной игры

«Лаборатория Касперскогоinfo-icon» обнаружила в официальном магазине Googleinfo-icon Play вредоносное приложение Guide for Pokémon Go, содержащего троянца, который заражает устройства Androidinfo-icon и, приобретая права суперпользователя, получает над ними полный контроль.

По оценкам экспертов компании, жертвами зловреда, эксплуатирующего невероятно высокую популярность мобильной игры, потенциально могут стать более 500 тысяч пользователей – именно столько раз было скачано вредоносное приложение. К настоящему моменту эксперты имеют данные о более чем 6 тысячах подтвержденных заражений большей частью в России, Индии и Индонезии. 

Троянец, содержащийся в приложении Guide for Pokémon Go, использует уязвимости операционной системы для получения прав суперпользователя и способен загружать на устройство дополнительные вредоносные модули и программы, а также демонстрировать навязчивую рекламу. При этом сам зловред обладает весьма интересными функциями, которые помогают ему избегать обнаружения. К примеру, троянец не начинает работать в момент запуска вредоносного приложения. Он ждет, когда пользователь установит или удалит какое-либо другое приложение, затем проверяет, что попал на реальное устройство, а не виртуальное. Но даже после этого троянец ждет еще пару часов, прежде чем начать работу.

Примечательно, что функционирование зловреда не является полностью автоматическим процессом. Троянец передает на сервер злоумышленников информацию о зараженном устройстве (страну, язык, модель гаджета и версию ОС) и ждет ответа. Только в случае одобрения, полученного от командно-контрольного сервера, зловред приступает к скачиванию, установке и запуску дополнительных вредоносных модулей. Таким образом киберпреступники отбирают только интересующих их жертв, избегая тех пользователей, которые не попадают в их целевую аудиторию, и исключая из «выборки» возможные виртуальные машины.

В настоящее время приложение Guide for Pokémon Go удалено из Google Play, а защитные решения «Лаборатории Касперского» детектируют троянскую программу как HEUR:Trojan.AndroidOS.Ztorg.ad. Вместе с тем это уже не первый случай появления подобных вредоносных приложений в официальном магазине – эксперты компании насчитали по меньшей мере 9 различных приложений с тем же вредоносным модулем, которые были доступны в Google Play в разное время начиная с декабря 2015 года.

«Куда бы ни направился пользователь в онлайн-мире, киберпреступники немедленно последуют за ним. И Pokémon Go не исключение. Жертвы конкретно этого троянца могут поначалу даже и не заметить присутствия зловреда в своем смартфоне и будут просто злиться от избытка навязчивой рекламы. Однако последствия такого заражения могут быть куда более серьезными – ведь этот троянец получает контроль над всем устройством, включая все данные и файлы, которые пользователь хранит на нем», – рассказывает Роман Унучек, антивирусный эксперт «Лаборатории Касперского».