500 אלף הורדות של אפליקציית פוקימון גו זדונית

מומחי מעבדת קספרסקי חשפו אפליקציית Pokemon Go זדונית חדשה בחנות Google Play, המסוגלת לקבל הרשאות ליבה במכשירי אנדרואיד ולהשתמש בהן כדי להתקין/להסיר אפליקציות ולהציג פרסומים ללא אישור המשתמש. האפליקציה – Guide for Pokémon Go –  הורדה יותר מ- 500,000 אלף פעמים וגרמה ל- 6,000 הדבקות מוצלחות לפחות. מעבדת קספרסקי דיווחה על הטרויאני לגוגל והאפליקציה הוסרה מהחנות.

תופעת ההיסטריה הגלובלית סביב פוקימון גו גררה אחריה מספר גדל של אפליקציות נלוות, וכחלק בלתי נפרד מכך, גם משכה את תשומת הלב של קהילת עברייני הסייבר. ניתוח של הטרויאני Guide for Pokemon Go על ידי מומחי קספרסקי, חשף טרויאני אשר מוריד קוד זדוני לפריצת המכשיר (rooting) ופותח גישה לליבת  מערכת ההפעלה אנדרואיד לצורך התקנת והסרת אפליקציות ופרסום מודעות.

הטרויאני כולל מספר מאפיינים מעניינים המסייעים לו לחמוק מזיהוי. לדוגמא, הוא אינו מתחיל לפעול ברגע שהקורבן מפעיל את האפליקציה. במקום זאת הוא מחכה עד שהמשתמש מתקין או מסיר אפליקציה אחרת, ואז בודק האם האפליקציה פועלת על מכשיר אמיתי או מכונה וירטואלית. אם מדובר במכשיר אמיתי, הטרויאני ימתין שעתיים נוספות לפני שיתחיל את הפעילות הזדונית שלו. אפילו אז, ההדבקה אינה מובטחת.

לאחר יצירת חיבור לשרת הפיקוד והשליטה וטעינה של פרטים על המכשיר הנגוע, כולל מדינה, שפה, מודל המכשיר וגרסת מערכת הפעלה, הטרויאני יחכה לתגובה. רק אם זו מגיעה, הוא ימשיך לפעול ואז יוריד, יתקין ויטמיע מודולים זדוניים נוספים. ברגע שהטרויאני מגיע להרשאות הליבה, הוא מתקין את המודולים שלו בתיקיות המערכת של המכשיר, ובינתיים ברקע מתקין ומסיר אפליקציות אחרות ומציג מודעות למשתמש.

ניתוח של מעבדת קספרסקי מראה כי לפחות גרסה אחת נוספת של האפליקציה הזדונית Pokemon Guide הייתה זמינה ב- Google Play ביולי 2016. בנוסף, החוקרים הצליחו לאתר לפחות תשע אפליקציות נוספות עם אותו טרויאני בחנות Google Play מאז דצמבר 2015.

הנתונים מצביעים על לפחות 6,000 הדבקות מוצלחות עד היום, כולל ברוסיה, הודו ואינדונזיה. עם זאת, מאחר והאפליקציה מכוונת לדוברי אנגלית, כנראה שיש נפגעים גם באזורים דוברי אנגלית.

“בעולם המקוון, לכל מקום אליו מגיעים המשתמשים, מגיעים גם העבריינים. בכך, פוקימון גו אינו יוצא מן הכלל. קורבנות הטרויאני הזה לא מבחינים בתחילה בפרסום המעצבן והמשבש שקופץ למסך, אבל ההשלכות ארוכות טווח של ההדבקה עלולות להיות בעייתיות. אם נדבקת, המשמעות היא שמישהו אחר נמצא בתוך הטלפון הנייד שלך ויש לו שליטה על מערכת ההפעלה ועל כל דבר שאתה מאחסן במכשיר. למרות שהאפליקציה הוסרה מהאתר, ישנם כחצי מיליון אנשים החשופים להדבקה – ואנו מקווים כי הכרזה זו תגרום להם לפעול ולהסיר את האפליקציה", אמר רומן אונצ'ק, אנליסט קוד זדוני בכיר, מעבדת קספרסקי.

למשתמשים החוששים להידבק בנוזקות מסוג זה מומלץ להשתמש בפתרונות הגנה לטלפונים ניידים כגון Kaspersky Internet Security for Android. למשתמשים החוששים שנדבקו – הדרך הטובה ביותר להסיר את הקוד הזדוני מהליבה היא לגבות את כל הנתונים על גבי המכשיר ואז לבצע איפוס להגדרות היצרן.