נחשפה אפליקציית פוקימון גו זדונית המסוכנת לאנדרואיד

חברת אבטחת המידע קספרסקי חשפה אפליקציה זדונית, שהיא למעשה מדריך למשחק הפופולרי פוקימון גו ■ האפליקציה הורדה יותר מ- 500,000 אלף פעמים וגרמה ל- 6,000 הדבקות

פוקימון/ צילום: יחצ
פוקימון/ צילום: יחצ

מומחי מעבדת אבטחת המידע קספרסקי חשפו אפליקציית Pokemon Go זדונית חדשה בחנות האפליקציות של גוגל (Google Play), המסוגלת לקבל הרשאות ליבה במכשירי אנדרואיד ולהשתמש בהן כדי להתקין/להסיר אפליקציות ולהציג פרסומים ללא אישור המשתמש.

האפליקציה, שהיא למעשה מדריך למשחק הפופולרי פוקימון גו (Guide for Pokémon Go) - הורדה יותר מ-500,000 אלף פעמים וגרמה ל- 6,000 הדבקות מוצלחות לפחות. חברת קספרסקי דיווחה על הווירוס לגוגל והאפליקציה הוסרה מהחנות.

תופעת ההיסטריה הגלובלית סביב פוקימון גו גררה אחריה מספר הולך וגדל של אפליקציות נלוות, וכחלק בלתי נפרד מכך, גם משכה את תשומת הלב של קהילת עברייני הסייבר. ניתוח של הווירוס Guide for Pokemon Go על ידי מומחי קספרסקי, חשף "סוס טרויאני" אשר מוריד קוד זדוני לפריצת המכשיר (rooting) ופותח גישה לליבת מערכת ההפעלה אנדרואיד לצורך התקנת והסרת אפליקציות ופרסום מודעות.

הווירוס כולל מספר מאפיינים מעניינים המסייעים לו לחמוק מזיהוי. לדוגמא, הוא אינו מתחיל לפעול ברגע שהקורבן מפעיל את האפליקציה. במקום זאת הוא מחכה עד שהמשתמש מתקין או מסיר אפליקציה אחרת, ואז בודק האם האפליקציה פועלת על מכשיר אמיתי או מכונה וירטואלית. אם מדובר במכשיר אמיתי, הווירוס ימתין שעתיים נוספות לפני שיתחיל את הפעילות הזדונית שלו. יש לציין שאפילו אז, ההדבקה אינה מובטחת.

לאחר יצירת חיבור לשרת הפיקוד והשליטה, וטעינה של פרטים על המכשיר הנגוע כולל מדינה, שפה, מודל המכשיר וגרסת מערכת הפעלה, הווירוס יחכה לתגובה. רק אם זו מגיעה, הוא ימשיך לפעול ואז יוריד, יתקין ויטמיע מודולים זדוניים נוספים. ברגע שהווירוס מגיע להרשאות הליבה, הוא מתקין את המודולים שלו בתיקיות המערכת של המכשיר, ובינתיים ברקע מתקין ומסיר אפליקציות אחרות ומציג מודעות למשתמש.

ניתוח מראה כי לפחות גרסה אחת נוספת של האפליקציה הזדונית הייתה זמינה בחנות האפליקציות של גוגל כבר ביולי 2016. בנוסף, החוקרים הצליחו לאתר לפחות תשע אפליקציות נוספות עם אותו "סוס טרויאני" בחנות Google Play מאז דצמבר 2015.

הנתונים מצביעים על לפחות 6,000 הדבקות מוצלחות עד היום, כולל ברוסיה, הודו ואינדונזיה. עם זאת, מאחר והאפליקציה מכוונת לדוברי אנגלית, כנראה שיש נפגעים גם באזורים דוברי אנגלית.

"בעולם המקוון, לכל מקום אליו מגיעים המשתמשים, מגיעים גם העבריינים. בכך, פוקימון גו אינו יוצא מן הכלל", ציין רומן אונצ'ק, אנליסט קוד זדוני בכיר במעבדת קספרסקי. "קורבנות הווירוס הזה לא מבחינים בתחילה בפרסום המעצבן והמשבש שקופץ למסך, אבל ההשלכות ארוכות טווח של ההדבקה עלולות להיות בעייתיות.

"אם נדבקת, המשמעות היא שמישהו אחר נמצא בתוך הטלפון הנייד שלך ויש לו שליטה על מערכת ההפעלה ועל כל דבר שאתה מאחסן במכשיר. למרות שהאפליקציה הוסרה מהאתר, ישנם כחצי מיליון אנשים החשופים להדבקה - ואנו מקווים כי הכרזה זו תגרום להם לפעול ולהסיר את האפליקציה".

בקספרסקי ממליצים למשתמשים החוששים שנדבקו - הדרך הטובה ביותר להסיר את הקוד הזדוני מהליבה היא לגבות את כל הנתונים על גבי המכשיר ואז לבצע איפוס להגדרות היצרן. בנוסף, מומחים ממליצים למשתמשים לבדוק תמיד אם האפליקציה שהם מעוניינים להוריד נוצרה על ידי מפתח מוכר, לשמור על מערכת ההפעלה והאפליקציות שלהם מעודכנות, ולא להוריד דבר שנראה חשוד או שהמקור שלו אינו ברור.

 

צרו איתנו קשר *5988