Android
Meno di tre mesi dopo il lancio di Pokemon Go, i criminali hanno introdotto un malware su Google Play che prendeva di mira gli allenatori di Pokemon. I nostri esperti hanno scoperto il Trojan diversi giorni fa e l’hanno immediatamente riferito a Google. Sfortunatamente, in quel momento, l’app dannosa dal nome Guida Pokemon Go era stata già scaricata più di 500.000 volte.
Negli ultimi mesi quasi 6 milioni di persone hanno provato Pokemon Go. Non c’è da stupirsi sul fatto che il famosissimo gioco abbia catturato velocemente l’attenzione dei cybercriminali: il primo malware per Pokemon Go è stato rilevato a luglio, subito dopo il lancio del gioco. In quel momento, la situazione non era così pericolosa. Il Trojan veniva conservato in un file vault dannoso e aspettava solo di essere diffuso in rete. Ma adesso la storia è diversa.
Questo nuovo Trojan è stato scoperto su Google Play. Come un furfante professionista, si nascondeva magistralmente dagli esperti di sicurezza e sceglieva attentamente le vittime. A quei “prescelti”, mostrava pubblicità (tanta pubblicità). Si insinuava nei loro dispositivi e installava una serie di altri file dannosi e di app indesiderate.
Come funziona?
Per nascondere il malware dalle scansioni dell’antivirus, i file eseguibili del Trojan venivano compressi con un packer di software commerciale. I file decompressi includevano contenuto utile per Pokemon Go (il camuffamento del Trojan) e un piccolo modulo con un codice offuscato.
Dopo che un utente installava la Guida Pokemon Go, il malware aspettava in silenzio qualche tempo. Questa pausa era abbastanza intenzionale: il malware aveva bisogno di sapere se si trovava su un dispositivo o su una macchina virtuale (una simulazione di un sistema informatico che gli esperti di sicurezza utilizzano per controllare come si comportano le app sospette in diverse situazioni).
Dopo aver avuto la conferma che si trovava su un vero dispostivo, il Trojan inviava un messaggio a un server command and control avviato dai cybercriminali. Il report includeva informazioni sul dispositivo infetto: modello, versione di OS, paese, lingua predefinita e tanto altro.
Il server analizzava le informazioni, decideva se la vittima rispondeva alle sue esigenze e informava il Trojan sulla decisione. Con il permesso del server, la Guida Pokemon Go scaricava file dannosi aggiuntivi (anche il loro codice era offuscato). Questi file erano l’armamento pesante del Trojan: gli permettevano di utilizzare diverse vulnerabilità scoperte dal 2012 al 2015.
Il malware così armato entrava nel sistema, installava app aggiuntive e riempiva il telefono di pubblicità.
Solo pubblicità? È davvero pericoloso?
Raramente le pubblicità sono piacevoli. Oltretutto, un conto è guardare la pubblicità su Google (è un modo in cui pagate per i suoi servizi “gratuiti”), un altro è quando i criminali infettano il vostro telefono con malware per mostare banner tutto il tempo.
Ad ogni modo, la parte peggiore di questo contagio è occulta: Guida Pokemon Go può installare segretamente qualsiasi app sul vostro dispositivo. Per adesso, i criminali hanno scelto un modo relativamente soft per fare soldi: le pubblicità. In futuro, potrebbero decidere di aumentare i loro profitti bloccando il vostro dispositivo e chiedendo un riscatto (o rubando soldi dal vostro account bancario).
Why you shouldn’t trust the reviews and ratings on #Google Play https://t.co/aMdYbh3T1F pic.twitter.com/n8QmQtAElm
— Eugene Kaspersky (@e_kaspersky) September 1, 2016
Nonostante il Trojan sia stato rimosso da Google Play, mezzo milione di persone l’avevano già scaricato. Sappiamo per certo che il Trojan ha infettato i dispositivi in Russia, India e in Indonesia. Ma prende di mira anche gli utenti dei paesi anglofoni e ci sono molte altre vittime nel mondo.
Come proteggervi
Se temete che il vostro dispositivo possa essere stato infettato da questo Trojan, rimuovete l’app dannosa e fate una scansione al vostro dispostivo con Kaspersky Antivirus & Security for Android. È gratuito. Le nostre soluzioni di sicurezza rilevano il Trojan come HEUR:Trojan.AndroidOS.Ztorg.ad.
Mentre cercate di catturare i #pokemon, i cybercriminali provano a catturarvi su #GooglePlay
Per proteggervi in futuro, seguite queste regole:
1. Tenete bene a mente che anche se scaricate app solo dagli store ufficiali, non c’è nulla di sicuro al 100%. I criminali a volte bypassano le protezione di Google e di altre aziende (Guida Pokemon Go è un buon esempio).
2. Installate immediatamente gli aggiornamenti sul vostro smartphone (e anche sul vostro computer). I cybercriminali attaccano le vulnerabilità sia sui sistemi operativi per mobile che su quelli per desktop.
3. Ricordate che le recensioni e le classifiche su Google Play non sono necessariamente affidabili (i criminali possono falsarle utilizzano uno speciale malware). Ad esempio, il malware di Guida Pokemon Go aveva quattro stelle su Google Play.
Consigli