Falso app para Pokemon já infectou mais de 500 mil

Menos de três meses depois do lançamento do Pokémon go, criminosos conseguiram inserir um malware na Google Play direcionado especialmente aos treinadores Pokémon. Nossos especialistas descobriram o Trojan há alguns dias

Menos de três meses depois do lançamento do Pokémon go, criminosos conseguiram inserir um malware na Google Play direcionado especialmente aos treinadores Pokémon. Nossos especialistas descobriram o Trojan há alguns dias e o reportaram imediatamente. Infelizmente, até agora, o aplicativo malicioso, chamado Guide for Pokémon Go, já havia sido baixado mais de 500 mil vezes.

Nos últimos meses, mais de 6 milhões de pessoas testaram o Pokémon Go. Não é de se espantar que um jogo tão popular chamou rapidamente a atenção de cibercriminosos: o primeiro malware para Pokémon Go foi identificado em julho, logo depois do lançamento do jogo. Naquele tempo, a situação não era tão perigosa. O Trojan era armazenado em um cofre de arquivos maliciosos e esperava a oportunidade de se propagar online. Mas agora a história é bem diferente.

Esse novo Trojan foi descoberto dentro da Google Play. Como um espião profissional, o malware se escondeu da segurança e escolheu suas vítimas cuidadosamente. Aos “escolhidos”, exibia anúncios – muitos anúncios. Também obtinha acesso raiz (root) no dispositivo e instalava diversos outros arquivos maliciosos e aplicativos indesejados.

Como ele funciona?
Para esconder o malware das verificações de programas antivírus, o executável do Trojan era comprimido juntamente com um empacotador de software comercial. Os arquivos extraídos possuíam conteúdo útil a jogadores do Pokémon Go (o que mantinha o disfarce do Trojan) e um pequeno módulo com código disfarçado.

Depois que o usuário instala o “Guia para Pokémon Go”, o malware esperava silenciosamente por um tempo. Essa pausa era intencional: o malware precisava descobrir se estava em um dispositivo real ou uma máquina virtual – um sistema de emulação de computadores usado por especialistas em segurança para verificar como aplicativos maliciosos se comportam sob certas condições.

Confirmado que se trata de um dispositivo real, o Trojan envia uma mensagem ao servidor de comando e controle administrado por cibercriminosos. O relatório inclui informações sobre o dispositivo infectado: modelo, versão do sistema operacional, língua padrão e mais.

O servidor analisa a informação, decide se a vítima é adequada às suas necessidades, e informa o Trojan dessa decisão. Com a permissão do servidor, o “Guia para Pokémon Go”, baixa arquivos maliciosos adicionais (com códigos também ocultos). Esses arquivos são o armamento pesado do Trojan: permitem explorar diversas vulnerabilidades descobertas entre 2012 e 2015.

O malware, agora armado até os dentes, obtém acesso raiz ao sistema, instala aplicativos silenciosamente, e inunda o celular com anúncios.

Apenas anúncios? E que perigo tem isso?
Propagandas raramente são legais. Além disso, uma coisa é ver os anúncios do Google – sendo essa uma forma pela qual você paga pelos serviços “gratuitos”. Outra bem diferente é quando criminosos infectam seu celular com malware que exibe banners o tempo inteiro.

Todavia, o pior da infecção fica escondido: O “Guia para Pokémon Go”, pode instalar qualquer app no seu dispositivo secretamente. Até agora, criminosos escolheram formas relativamente pouco agressivas para ganhar dinheiro: anúncios. Amanhã, eles podem decidir aumentar seus ganhos bloqueando dispositivos – ou roubando dinheiro de contas bancárias.

O Trojan já foi removido da Google Play, porém mais de 500 mil pessoas fizeram o download, em várias regiões do mundo.

Como se proteger
Se você teme que seu dispositivo esteja infectado com esse Trojan, remova o aplicativo malicioso e verifique seu dispositivo com o Kaspersky Antivirus & Security for Android. É de graça. Nossa solução de segurança detecta o Trojan como HEUR: Trojan.AndroidOS.Ztorg.ad.

 

Para se proteger no futuro, siga as seguintes regras:

  1. Tenha em mente que mesmo que você baixe apenas aplicativos de lojas oficiais, nada é 100% seguro. Criminosos às vezes burlam as proteções do Google e de outras empresas – o “Guia para Pokémon Go”, é um bom exemplo.
  2. Instale patches de segurança no seu smartphones o mais rápido possível (no seu computador também). Cibercriminosos se agarram à vulnerabilidades tanto em sistemas operacionais mobile e de desktops.
  3. Lembre-se que as reviews do Google Play não são necessariamente verdade – criminosos podem forjá-las por meio de malwares especiais. Por exemplo, o “Guia para Pokémon Go” possuía quatro estrelas na Google Play.
Dicas