A Kaspersky Lab  szakértői bejelentették, hogy felfedeztek egy új rosszindulatú applikációt, a Guide for Pokémon Gót a Google Play Store-ban, amely megszerezheti az Android okostelefonok hozzáférési jogait és ezeket felhasználva appokat telepíthet, illetve törölhet, valamint kéretlen hirdetéseket jeleníthet meg. Az applikációt több, mint 500 ezren töltötték le, ami legalább 6 ezer sikeres fertőzéshez vezetett. A Kaspersky Lab jelezte a Google-nak a trójai vírus terjedését, minek következtében eltávolították az appot a Google Play-ről.

A vírusírók a népszerű programokat veszik célba

A Guide for Pokémon Go elemzése során a Kaspersky Lab rosszindulatú kódot fedezett fel, amely olyan vírust tölt le a mobilkészülékre, amely szuperfelhasználói jogosultságot szerez, ami hozzáférést biztosít az Android operációs rendszerhez azzal a céllal, hogy appokat telepítsen és töröljön illetve hirdetéseket jelenítsen meg.

A trójai érdekes tulajdonságainak köszönhetően észrevétlen marad az antivírusok számára. Például nem akkor aktiválódik, amikor az áldozat elindítja az applikációt, hanem megvárja, amíg a felhasználó telepít vagy töröl egy másik appot, aztán leellenőrzi, hogy az applikáció egy valódi készüléken fut vagy egy virtuális gépen. Ha egy valódi készülékről van szó, a trójai vírus további két órát vár, mielőtt megkezdené rosszindulatú tevékenységét, de a fertőzés még akkor sem garantált. Miután kapcsolatba lépett a vezérszerverrel és feltöltötte a fertőzött készülék adatait (a mobil országa, nyelve, a készülék modellje és operációs rendszerének verziója), a trójai megvárja a szerver válaszát. Válasz esetén további vírusmodulokat tölt le és telepít.

[+]

Ez azt jelenti, hogy a vezérszerver leállíthatja a támadást, ha úgy akarja – kihagyva azokat a felhasználókat, amelyeket nem kíván célba venni, vagy azokat, amelyek feltehetően virtuális gépek, homokozók. Ez további védelmet biztosít a vírus számára. Mikor a szuperfelhasználói jogosultságokat átvette, a trójai vírus telepíti moduljait a készülék rendszerébe, titokban letölt és töröl más appokat, valamint kéretlen hirdetéseket jelenít meg.

Vírusvédelmi programmal eltávolítható

A Kaspersky Lab elemzése azt mutatja, hogy a rosszindulatú Pokémon Guide applikáció egy másik verziója is elérhető volt a Google Play-ben 2016 júliusában. Továbbá legalább kilenc másik appot találtak, amelyek ugyanezt a trójait tartalmazták és elérhetőek voltak a Google Play Store-ban 2015 decemberéig visszamenően.

A Kaspersky Lab adatai szerint több, mint 6 ezer sikeres fertőzés volt eddig Oroszországban, Indiában és Indonéziában. Mivel az applikáció az angolul beszélő felhasználókat veszi célba, az ilyen nyelvterületen élő emberek is valószínűleg áldozatul estek.

„Az online világban bárhova is menjenek a fogyasztók, a kiberbűnözők gyorsan követni fogják őket. Ez alól a Pokémon Go sem kivétel. A trójai vírus áldozatai először lehet, hogy észre sem veszik az idegesítő és zavaró hirdetések nagyobb számát, de a fertőzés hosszú távú következményei jóval fenyegetőbbek lehetnek. Ha valaki áldozatul esett, akkor a támadó benne van telefonjában, és operációs rendszere, minden tevékenysége és az összes elmentett adat a támadó birtokában van. Az appot már eltávolították a Play Store-ból, de félmillió ember még mindig ki van téve a fertőzés veszélyének, ezért reméljük, hogy ez a bejelentés cselekvésre sarkallja őket – mondta Roman Unuchek, a Kaspersky Lab senior víruselemzője.