Gli esperti di Kaspersky Lab hanno scoperto una nuova app nociva sul Play Store di Google: “Guide for Pokémon Go”, in grado di ottenere i diritti di accesso root sugli smartphone Android e usarli per installare o disinstallare app e visualizzare messaggi pubblicitari indesiderati. L’app è stata scaricata più di 500.000 volte, con almeno 6.000 infezioni riuscite. Kaspersky Lab ha avvertito Google del trojan e l’app è stata rimossa da Google Play.
Il fenomeno globale di Pokémon Go ha comportato un numero crescente di app dedicate e, inevitabilmente, un aumento dell’interesse da parte della comunità dei cyber criminali. L’analisi di Kaspersky Lab del trojan “Guide for Pokémon Go” ha permesso di scoprire il codice nocivo che avvia il download di un malware che effettua il root del dispositivo, garantendo l’accesso al cuore del sistema operativo Android allo scopo di installare e rimuovere app, così come visualizzare banner pubblicitari.
Il trojan presenta alcune caratteristiche interessanti che lo aiutano a non essere rilevato. Ad esempio, non si avvia nello stesso momento in cui la vittima lancia l’app, ma aspetta che l’utente ne installi o disinstalli un’altra e controlla poi se tale app opera su un dispositivo reale o su una macchina virtuale. Se si tratta di un dispositivo, il trojan aspetta altre due ore prima di iniziare la propria attività nociva. Tuttavia, anche in questo modo l’infezione non è garantita. Dopo essersi connesso al proprio server di comando e aver effettuato l’upload delle informazioni sul dispositivo infettato, inclusi Paese, lingua, modello del dispositivo e versione del sistema operativo, il trojan aspetta una risposta. Solo dopo averla ricevuta, procederà con ulteriori richieste e il download, l’installazione e l’implementazione di moduli malware aggiuntivi.
Questo approccio permette al server di controllo di fermare l’attacco, evitando di colpire quegli utenti che non vuole prendere di mira o quelli che sospetta siano, ad esempio, una sandbox o una macchina virtuale. Questo offre al malware un ulteriore livello di protezione.
Una volta abilitati i diritti di root, il trojan installa i propri moduli nelle cartelle di sistema del dispositivo, installando o disinstallando di nascosto altre app o banner pubblicitari indesiderati.
L’analisi di Kaspersky Lab mostra che è stata disponibile su Google Play almeno un’altra versione dell’app nociva Pokémon Guide a luglio 2016. Inoltre, i ricercatori sono risaliti ad almeno nove altre app infettate dallo stesso trojan e disponibili sul Play Store di Google in diversi momenti a partire da dicembre 2015.
I dati in nostro possesso suggeriscono che, al momento, ci siano state oltre 6.000 infezioni andate a buon fine, tra cui in Russia, India e Indonesia. Tuttavia, da quando l’app si è rivolta agli utenti di lingua inglese, anche i giocatori di queste aree, e altre ancora, hanno maggiori possibilità di essere colpiti.
“Nel mondo online, ovunque vadano gli utenti, i cyber criminali saranno rapidi a seguirli. Pokémon Go non è un’eccezione. Le vittime di questo trojan potrebbero, almeno inizialmente, non aver notato l’aumento di fastidiose pubblicità, ma le conseguenze a lungo termine dell’infezione potrebbero essere molto più gravi. Se siete stati colpiti, significa che qualcuno è entrato nel vostro cellulare e ha il controllo del sistema operativo e di tutto quello che viene fatto e archiviato. Anche se l’app è già stata rimossa dallo store, oltre mezzo milione di persone là fuori sono state colpite. E noi speriamo che questo annuncio li aiuti a capire la necessità di prendere provvedimenti”, ha commentato Roman Unuchek, Senior Malware Analyst di Kaspersky Lab.
Chi ha paura di incontrare questo trojan, dovrebbe installare sul proprio dispositivo una soluzione di sicurezza affidabile come Kaspersky Internet Security for Android. Se l’infezione ha già avuto luogo, il modo migliore per rimuovere il malware è fare il backup di tutti i dati e ripristinare le impostazioni di fabbrica del dispositivo.
Inoltre, Kaspersky Lab consiglia agli utenti di controllare sempre che le app siano state create da uno sviluppatore affidabile, tenere aggiornati il sistema operativo e il software applicativo e non scaricare nulla che sembri sospetto o la cui fonte non può essere verificata.
Per avere maggiori informazioni sul trojan Pokémon Go Guide, è possibile leggere il blogpost su Securelist.com.
Tutti i prodotti Kaspersky Lab rilevano il trojan come HEUR:Trojan.AndroidOS.Ztorg.ad.
Informazioni su Kaspersky Lab
Kaspersky Lab è un’azienda di sicurezza informatica a livello globale fondata nel 1997. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it.
Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/
Seguici su:
https://twitter.com/KasperskyLabIT
http://www.facebook.com/kasperskylabitalia
https://plus.google.com/+KasperskyItKL
https://www.linkedin.com/kasperskylabitalia
.jpg)
