Покемон оказался троянцем

В официальном магазине Google Play был обнаружен троянец, маскировавшийся под приложение «Guide For Pokemon Go»

По заявлениям специалистов из «Лаборатории Касперского» начиная с июля 2016 года, в Гугл Плэй был обнаружен троянец, который маскировался под популярную игру Покемон ГО. Данный зловред детектируется антивирусом Касперского как HEUR:Trojan.AndroidOS.Ztorg.ad в Гугл Плэй его успели скачать более 500 000 раз.

pokemon go troyanec

Немного разберем этого зловреда и расскажем, как он работает, и какие меры защиты предпринимает. Во первых. Он упакован коммерческим упаковщиком, во вторых его зловредная деятельность начинается ни сразу, а при определенных обстоятельствах.

Попав на устройство жертвы, зловред сначала проверял, на какой системе он находится виртуальной или реальной. Если троян приходил к выводу, что система реальная, то он ждал около 2-х часов и только после этого посылал запрос на командный сервер. Вместе с запросом он передавал данные о том, на каком устройстве он находится, какой язык установлен, какая ОС устройства, модель и т.п.

После отправки первого запроса он ждет ответ от сервера управления, если сервер готов с ним взаимодействовать зловред посылал второй запрос, ответом на который приходил зашифрованный JSON-файл содержащий вредоносную ссылку. Получив этот фаил, фейковый покемон, его расшифровывал и переходил по ссылке, скачивал вредоносный модуль детектируемый антивирусом Касперского как Ztorg.ad. А так же набор вредоносных эксплойтов, которые позволяют пользоваться уязвимостью Hacking Team.

Загрузив и установив необходимые модули, зловред получал «РУТ» права на устройстве и незаметно от владельца устройства, мог удалять или устанавливать приложения, а так же выполнять  довольно большой набор возможностей.

На данный момент вредоносное приложение убрано из магазина Google Play