Πάνω από 500.000 χρήστες έχουν κατεβάσει την κακόβουλη εφαρμογή
που είναι μεταμφιεσμένη στο «Pokémon Go» και μπορεί και παίρνει τον
έλεγχο Android τηλεφώνων
Οι ειδικοί της Kaspersky Lab ανακάλυψαν μία νέα κακόβουλη εφαρμογή στο Google Play store με την ονομασία «Οδηγός για Pokémon Go», η οποία είναι σε θέση να υφαρπάξει δικαιώματα για root access σε Android smartphone, χρησιμοποιώντας τα για την εγκατάσταση ή την απεγκατάσταση εφαρμογών και την προβολή αυτόκλητων διαφημίσεων. Η εφαρμογή έχει «κατέβει» περισσότερες από 500.000 φορές, με τουλάχιστον 6.000 επιτυχημένες «μολύνσεις».
Η Kaspersky Lab έχει αναφέρει το Trojan στη Google και η εφαρμογή έχει αφαιρεθεί από το Google Play.
Το παγκόσμιο φαινόμενο Pokémon Go έχει οδηγήσει σε έναν αυξανόμενο αριθμό σχετικών εφαρμογών και, αναπόφευκτα, αυξημένο ενδιαφέρον από την κοινότητα του ψηφιακού εγκλήματος. Η ανάλυση της Kaspersky Lab στο Trojan «Οδηγός για Pokémon Go» οδήγησε στην ανακάλυψη κακόβουλου κώδικα, ο οποίος έκανε λήψη κακόβουλου λογισμικού για rooting, διασφαλίζοντας την πρόσβαση στον πυρήνα του λειτουργικού συστήματος Android, με σκοπό την εγκατάσταση και την αφαίρεση εφαρμογών, καθώς και την εμφάνιση διαφημίσεων.
Το Trojan περιλαμβάνει κάποιες ενδιαφέρουσες λειτουργίες που το βοηθούν να παρακάμπτει την ανίχνευση. Για παράδειγμα, δε γίνεται εκκίνησή του κατά τη στιγμή που το θύμα θα ενεργοποιήσει την εφαρμογή. Αντ’ αυτού, περιμένει ο χρήστης να εγκαταστήσει ή να απεγκαταστήσει μια άλλη εφαρμογή, και στη συνέχεια ελέγχει για να δει αν η εφαρμογή αυτή τρέχει σε μια πραγματική συσκευή ή σε μια εικονική μηχανή. Αν πρόκειται για συσκευή, το Trojan περιμένει δύο ώρες επιπλέον πριν από την έναρξη της κακόβουλης δραστηριότητάς του. Ακόμα και τότε, η «μόλυνση» δεν είναι εγγυημένη. Έπειτα από τη σύνδεση του Trojan με τον command server του και το «ανέβασμα» λεπτομερειών της «μολυσμένης» συσκευής, συμπεριλαμβανομένης της χώρας, της γλώσσας, του μοντέλου της συσκευής και της έκδοσης του λειτουργικού συστήματος, το Trojan θα περιμένει μια απόκριση. Μόνο όταν λάβει αυτή την απόκριση θα προχωρήσει σε περαιτέρω αιτήματα και τη λήψη, εγκατάσταση και εφαρμογή πρόσθετων κακόβουλων λειτουργιών.
Αυτή η προσέγγιση σημαίνει ότι ο control server μπορεί να εμποδίσει την επίθεση αν το επιθυμεί, παρακάμπτοντας τους χρήστες που δεν θέλει να στοχεύσει, ή εκείνους που υποψιάζεται ότι είναι sandbox ή εικονικές μηχανές, για παράδειγμα. Αυτό παρέχει ένα επιπλέον επίπεδο προστασίας για το κακόβουλο λογισμικό.
Μόλις τα δικαιώματα για rooting ενεργοποιηθούν, το Trojan θα εγκαταστήσει τις λειτουργίες του σε φακέλους συστήματος της συσκευής, εγκαθιστώντας και απεγκαθιστώντας σιωπηλά άλλες εφαρμογές καθώς και προβάλλοντας spam διαφημίσεις στο χρήστη.
H ανάλυση της Kaspersky Lab δείχνει ότι τουλάχιστον μία άλλη εκδοχή της κακόβουλης εφαρμογής Pokémon Guide ήταν διαθέσιμη μέσω του Google Play τον Ιούλιο του 2016. Επιπλέον, οι ερευνητές έχουν παρακολουθήσει τουλάχιστον άλλες εννέα εφαρμογές που έχουν «μολυνθεί» με το ίδιο Trojan και είναι διαθέσιμες στο Google Play Store σε διαφορετικές χρονικές στιγμές από τον Δεκέμβριο του 2015.
Τα δεδομένα της Kaspersky Lab δείχνουν ότι έχουν υπάρξει πάνω από 6.000 επιτυχημένες «μολύνσεις» μέχρι σήμερα, συμπεριλαμβανομένης της Ρωσίας, της Ινδίας και της Ινδονησίας. Ωστόσο, δεδομένου ότι η εφαρμογή είναι προσανατολισμένη προς αγγλόφωνους χρήστες, οι άνθρωποι στις αντίστοιχες γεωγραφικές περιοχές, και πολλές άλλες, είναι επίσης πολύ πιθανό να έχουν πληγεί.
Τα άτομα που ανησυχούν ότι μπορεί να έρθουν σε επαφή με το Trojan θα πρέπει να εγκαταστήσουν μια αξιόπιστη λύση ασφάλειας, όπως είναι το Kaspersky Internet Security for Android στη συσκευή τους. Αν η σάρωση ασφάλειας δείξει ότι έχουν ήδη «μολυνθεί», ο καλύτερος τρόπος για να αφαιρέσουν το κακόβουλο λογισμικό για rooting είναι να δημιουργήσουν αντίγραφα ασφάλειας όλων των δεδομένων και να επαναφέρουν τη συσκευή στις εργοστασιακές ρυθμίσεις. Επιπλέον, καλό θα είναι οι χρήστες να ελέγχουν πάντα ότι οι εφαρμογές έχουν δημιουργηθεί από έναν αξιόπιστο προγραμματιστή, να διατηρούν το λειτουργικό σύστημα και τις εφαρμογές τους ενημερωμένα, και να μην «κατεβάζουν» κάτι που μοιάζει ύποπτο ή του οποίου η προέλευση δεν μπορεί να πιστοποιηθεί.
Οι ειδικοί της Kaspersky Lab ανακάλυψαν μία νέα κακόβουλη εφαρμογή στο Google Play store με την ονομασία «Οδηγός για Pokémon Go», η οποία είναι σε θέση να υφαρπάξει δικαιώματα για root access σε Android smartphone, χρησιμοποιώντας τα για την εγκατάσταση ή την απεγκατάσταση εφαρμογών και την προβολή αυτόκλητων διαφημίσεων. Η εφαρμογή έχει «κατέβει» περισσότερες από 500.000 φορές, με τουλάχιστον 6.000 επιτυχημένες «μολύνσεις».
Η Kaspersky Lab έχει αναφέρει το Trojan στη Google και η εφαρμογή έχει αφαιρεθεί από το Google Play.
Το παγκόσμιο φαινόμενο Pokémon Go έχει οδηγήσει σε έναν αυξανόμενο αριθμό σχετικών εφαρμογών και, αναπόφευκτα, αυξημένο ενδιαφέρον από την κοινότητα του ψηφιακού εγκλήματος. Η ανάλυση της Kaspersky Lab στο Trojan «Οδηγός για Pokémon Go» οδήγησε στην ανακάλυψη κακόβουλου κώδικα, ο οποίος έκανε λήψη κακόβουλου λογισμικού για rooting, διασφαλίζοντας την πρόσβαση στον πυρήνα του λειτουργικού συστήματος Android, με σκοπό την εγκατάσταση και την αφαίρεση εφαρμογών, καθώς και την εμφάνιση διαφημίσεων.
Το Trojan περιλαμβάνει κάποιες ενδιαφέρουσες λειτουργίες που το βοηθούν να παρακάμπτει την ανίχνευση. Για παράδειγμα, δε γίνεται εκκίνησή του κατά τη στιγμή που το θύμα θα ενεργοποιήσει την εφαρμογή. Αντ’ αυτού, περιμένει ο χρήστης να εγκαταστήσει ή να απεγκαταστήσει μια άλλη εφαρμογή, και στη συνέχεια ελέγχει για να δει αν η εφαρμογή αυτή τρέχει σε μια πραγματική συσκευή ή σε μια εικονική μηχανή. Αν πρόκειται για συσκευή, το Trojan περιμένει δύο ώρες επιπλέον πριν από την έναρξη της κακόβουλης δραστηριότητάς του. Ακόμα και τότε, η «μόλυνση» δεν είναι εγγυημένη. Έπειτα από τη σύνδεση του Trojan με τον command server του και το «ανέβασμα» λεπτομερειών της «μολυσμένης» συσκευής, συμπεριλαμβανομένης της χώρας, της γλώσσας, του μοντέλου της συσκευής και της έκδοσης του λειτουργικού συστήματος, το Trojan θα περιμένει μια απόκριση. Μόνο όταν λάβει αυτή την απόκριση θα προχωρήσει σε περαιτέρω αιτήματα και τη λήψη, εγκατάσταση και εφαρμογή πρόσθετων κακόβουλων λειτουργιών.
Αυτή η προσέγγιση σημαίνει ότι ο control server μπορεί να εμποδίσει την επίθεση αν το επιθυμεί, παρακάμπτοντας τους χρήστες που δεν θέλει να στοχεύσει, ή εκείνους που υποψιάζεται ότι είναι sandbox ή εικονικές μηχανές, για παράδειγμα. Αυτό παρέχει ένα επιπλέον επίπεδο προστασίας για το κακόβουλο λογισμικό.
Μόλις τα δικαιώματα για rooting ενεργοποιηθούν, το Trojan θα εγκαταστήσει τις λειτουργίες του σε φακέλους συστήματος της συσκευής, εγκαθιστώντας και απεγκαθιστώντας σιωπηλά άλλες εφαρμογές καθώς και προβάλλοντας spam διαφημίσεις στο χρήστη.
H ανάλυση της Kaspersky Lab δείχνει ότι τουλάχιστον μία άλλη εκδοχή της κακόβουλης εφαρμογής Pokémon Guide ήταν διαθέσιμη μέσω του Google Play τον Ιούλιο του 2016. Επιπλέον, οι ερευνητές έχουν παρακολουθήσει τουλάχιστον άλλες εννέα εφαρμογές που έχουν «μολυνθεί» με το ίδιο Trojan και είναι διαθέσιμες στο Google Play Store σε διαφορετικές χρονικές στιγμές από τον Δεκέμβριο του 2015.
Τα δεδομένα της Kaspersky Lab δείχνουν ότι έχουν υπάρξει πάνω από 6.000 επιτυχημένες «μολύνσεις» μέχρι σήμερα, συμπεριλαμβανομένης της Ρωσίας, της Ινδίας και της Ινδονησίας. Ωστόσο, δεδομένου ότι η εφαρμογή είναι προσανατολισμένη προς αγγλόφωνους χρήστες, οι άνθρωποι στις αντίστοιχες γεωγραφικές περιοχές, και πολλές άλλες, είναι επίσης πολύ πιθανό να έχουν πληγεί.
Τα άτομα που ανησυχούν ότι μπορεί να έρθουν σε επαφή με το Trojan θα πρέπει να εγκαταστήσουν μια αξιόπιστη λύση ασφάλειας, όπως είναι το Kaspersky Internet Security for Android στη συσκευή τους. Αν η σάρωση ασφάλειας δείξει ότι έχουν ήδη «μολυνθεί», ο καλύτερος τρόπος για να αφαιρέσουν το κακόβουλο λογισμικό για rooting είναι να δημιουργήσουν αντίγραφα ασφάλειας όλων των δεδομένων και να επαναφέρουν τη συσκευή στις εργοστασιακές ρυθμίσεις. Επιπλέον, καλό θα είναι οι χρήστες να ελέγχουν πάντα ότι οι εφαρμογές έχουν δημιουργηθεί από έναν αξιόπιστο προγραμματιστή, να διατηρούν το λειτουργικό σύστημα και τις εφαρμογές τους ενημερωμένα, και να μην «κατεβάζουν» κάτι που μοιάζει ύποπτο ή του οποίου η προέλευση δεν μπορεί να πιστοποιηθεί.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου