Eksperci z Kaspersky Lab wykryli nową szkodliwą aplikację w Sklepie Play firmy Google – „Guide for Pokémon Go” – zdolną do uzyskiwania praw dostępu na poziomie administratora na smartfonach z systemem Android, wykorzystywania ich do instalowania i usuwania innych aplikacji, a także wyświetlania na nich niechcianych reklam. Szkodliwa aplikacja została pobrana ponad 500 000 razy, powodując co najmniej 6 000 udanych infekcji.
Trojan zawiera kilka interesujących funkcji, które pomagają mu uniknąć wykrycia. Na przykład nie aktywuje się w momencie uruchomienia aplikacji przez ofiarę, lecz czeka, aż użytkownik zainstaluje lub odinstaluje kolejną aplikację. Następnie sprawdza, czy ta aplikacja uruchamia się na fizycznym urządzeniu, czy na maszynie wirtualnej. Jeśli ma do czynienia z urządzeniem, trojan czeka kolejne dwie godziny, aby rozpocząć swoją szkodliwą aktywność. Nawet wtedy nie ma pewności, że nastąpi infekcja. Po połączeniu się z cyberprzestępczym serwerem kontroli i wysłaniu szczegółowych danych dotyczących zainfekowanego urządzenia, obejmujących państwo, język, model urządzenia oraz wersję systemu operacyjnego, trojan czeka na odpowiedź. Dopiero po otrzymaniu instrukcji przechodzi do dalszych działań oraz pobierania, instalowania i implementacji dodatkowych szkodliwych modułów.
To oznacza, że serwer kontroli może powstrzymać atak, jeśli takie jest życzenie cyberprzestępców – pomijając na przykład tych użytkowników, którzy nie posiadają odpowiedniej wersji systemu lub uruchamiają aplikacje w emulatorze systemu Android. To stanowi dodatkową warstwę ochrony dla szkodliwego oprogramowania.
Po uzyskaniu praw administratora trojan dodaje swoje moduły do folderów systemowych urządzenia, jednocześnie instalując i usuwając ukradkowo inne aplikacje i wyświetlając na ekranie smartfona lub tabletu niechciane reklamy.
Z analizy przeprowadzonej przez Kaspersky Lab wynika, że w lipcu 2016 r. w Sklepie Play dostępna była przynajmniej jedna inna wersja szkodliwej aplikacji Pokémon Guide. Ponadto badacze zidentyfikowali co najmniej dziesięć innych aplikacji zainfekowanych tym samym trojanem i dostępnych w sklepie Google Play w różnym czasie od grudnia 2015 r. Z danych Kaspersky Lab wynika, że dotąd miało miejsce ponad 6 000 udanych infekcji. Trojan jest zorientowany na użytkowników angielskojęzycznych.
Kaspersky Lab poinformował Google o istnieniu tego trojana i aplikacja została już usunięta ze sklepu Google Play.
