Cresce la mania per Pokémon Go, aumentano le app false progettate dagli hacker. Il fenomeno globale del gioco in realtà aumentata di Nintendo ha comportato un numero crescente di applicazioni dedicate, incluse quelle dei cyber-criminali. L’analisi di Kaspersky Lab del trojan “Guide for Pokémon Go” ha permesso di scoprire il codice nocivo che avvia il download di un malware che effettua il root del dispositivo, garantendo l’accesso al cuore del sistema operativo Android allo scopo di installare e rimuovere app, così come visualizzare banner pubblicitari.
Il trojan, che ha già infettato 6mila device, presenta alcune caratteristiche interessanti che lo aiutano a non essere rilevato. Ad esempio, non si avvia nello stesso momento in cui la vittima lancia l’app, ma aspetta che l’utente ne installi o disinstalli un’altra e controlla poi se tale app opera su un dispositivo reale o su una macchina virtuale. Se si tratta di un dispositivo, il trojan aspetta altre due ore prima di iniziare la propria attività nociva. Tuttavia, anche in questo modo l’infezione non è garantita. Dopo essersi connesso al proprio server di comando e aver effettuato l’upload delle informazioni sul dispositivo infettato, inclusi Paese, lingua, modello del dispositivo e versione del sistema operativo, il trojan aspetta una risposta. Solo dopo averla ricevuta, procederà con ulteriori richieste e il download, l’installazione e l’implementazione di moduli malware aggiuntivi.
Questo approccio permette al server di controllo di fermare l’attacco, evitando di colpire quegli utenti che non vuole prendere di mira o quelli che sospetta siano, ad esempio, una sandbox o una macchina virtuale. Questo offre al malware un ulteriore livello di protezione.
Una volta abilitati i diritti di root, il trojan installa i propri moduli nelle cartelle di sistema del dispositivo, installando o disinstallando di nascosto altre app o banner pubblicitari indesiderati.
L’analisi di Kaspersky Lab mostra che è stata disponibile su Google Play almeno un’altra versione dell’app nociva Pokémon Guide a luglio 2016. Inoltre, i ricercatori sono risaliti ad almeno nove altre app infettate dallo stesso trojan e disponibili sul Play Store di Google in diversi momenti a partire da dicembre 2015.
“Nel mondo online, ovunque vadano gli utenti, i cyber criminali saranno rapidi a seguirli. Pokémon Go non è un’eccezione. Le vittime di questo trojan potrebbero, almeno inizialmente, non aver notato l’aumento di fastidiose pubblicità, ma le conseguenze a lungo termine dell’infezione potrebbero essere molto più gravi – spiega Roman Unuchek, senior malware analyst di Kaspersky Lab -. Se siete stati colpiti, significa che qualcuno è entrato nel vostro cellulare e ha il controllo del sistema operativo e di tutto quello che viene fatto e archiviato. Anche se l’app è già stata rimossa dallo store, oltre mezzo milione di persone là fuori sono state colpite. E noi speriamo che questo annuncio li aiuti a capire la necessità di prendere provvedimenti”.
