Analytici Kaspersky Lab odhalili novou podvodnou aplikaci v obchodě Google Play. „Guide for Pokémon Go“ je schopna zmocnit se přístupových práv na chytrých zařízeních s OS Android. Jejich prostřednictvím následně nainstaluje či odinstaluje různé aplikace či zobrazí nevyžádané reklamy.
Celosvětový zájem o hru Pokémon Go se odráží nejen ve vzrůstajícím počtu souvisejících aplikací, ale bohužel i ve značném zájmu kyberzločinecké komunity. Analýzou trojského koně „Guide to Pokémon Go“ odhalili experti Kaspersky Lab škodlivý kód, který zapříčiní stáhnutí rootovacího malwaru. Ten si zajistí přístup do jádra operačního systému Android s cílem instalovat nebo odstraňovat aplikace a zobrazovat reklamy.
Zmiňovaný trojan vykazuje unikátní prvky, které zabraňují jeho odhalení. Například se nespustí hned, jak uživatel zapne aplikaci. Místo toho vyčká, až uživatel nainstaluje či odinstaluje další aplikaci, čímž prověří, zda aplikace běží na skutečném přístroji nebo na virtuální platformě. V případě zjištění, že běží na opravdovém telefonu vyčká další dvě hodiny, než započne ve své škodící aktivitě. Ani poté však nemusí dojít k infikování platformy. Trojan se totiž spojí se svým řídícím serverem, kterému pošle informace o infikovaném zařízení, jako jsou například model přístroje, jazyk, zemi, verzi operačního systému, a vyčká na odpověď. Pouze pokud dojde k odezvě od řídícího serveru, začne v instalaci a implementaci dalších malwarových modulů.
Tímto postupem řídící server může zamezit v útoku na uživatele, na které si nepřeje cílit, nebo v případě, že si vyhodnotí, že cíl je sandbox nebo virtuální zařízení. Malware si takto vytváří další vrstvu ochrany. Jakmile jsou trojanovi poskytnuta přístupová práva, započne v instalování svých modulů do systémových složek zařízení, nenápadném instalování a odinstalovávání jiných aplikací a zobrazování nevyžádané reklamy.
Analýza společnosti Kaspersky Lab uvádí, že minimálně jedna verze škodlivé aplikace pro Pokémon Go byla v červenci 2016 dostupná přes Google Play. Kromě ní sledovali experti přinejmenším dalších 9 aplikací, které byly infikovány tím samým trojským koněm a byly od prosince 2015 v různých časových obdobích také dostupné na Google Play.
Data Kaspersky Lab uvádějí, že dodnes bylo převážně v Rusku, Indii a Indonésii úspěšně infikováno přes 6 000 zařízení. Aplikace se nicméně zaměřuje především na anglicky mluvící uživatele.