В официальном магазине Google Play было обнаружено вредоносное приложение Guide for Pokémon Go, содержащего троянца, который заражает устройства Android и, приобретая права суперпользователя, получает над ними полный контроль. По оценкам экспертов, жертвами зловреда, эксплуатирующего невероятно высокую популярность мобильной игры, потенциально могут стать более 500 тысяч пользователей – именно столько раз было скачано вредоносное приложение.
Троянец, содержащийся в приложении Guide for Pokémon Go, использует уязвимости операционной системы Android для получения прав суперпользователя и способен загружать на устройство дополнительные вредоносные модули и программы, демонстрировать навязчивую рекламу, а также получает доступ ко всем данным и файлам, которые пользователь хранит на смартфоне.
При этом сам зловред обладает весьма интересными функциями, которые помогают ему избегать обнаружения. К примеру, троянец не начинает работать в момент запуска вредоносного приложения. Он ждет, когда пользователь установит или удалит какое-либо другое приложение, затем проверяет, что попал на реальное устройство, а не виртуальное. Но даже после этого троянец ждет еще пару часов, прежде чем начать работу.
Примечательно, что функционирование зловреда не является полностью автоматическим процессом. Троянец передает на сервер злоумышленников информацию о зараженном устройстве (страну, язык, модель гаджета и версию ОС) и ждет ответа. Только в случае одобрения, полученного от командно-контрольного сервера, зловред приступает к скачиванию, установке и запуску дополнительных вредоносных модулей. Таким образом киберпреступники отбирают только интересующих их жертв, избегая тех пользователей, которые не попадают в их целевую аудиторию, и исключая из «выборки» возможные виртуальные машины.
В настоящее время приложение Guide for Pokémon Go удалено из Google Play, однако по данным экспертов аналогичный вредоносный модуль HEUR:Trojan.AndroidOS.Ztorg.ad использовался около десяти раз с конца 2015 года по данный момент.
Источник: Securelist