Троян, замаскированный под приложение Guide for Pokémon Go для Android, был обнаружен исследователями «Лаборатории Касперского» в официальном каталоге приложений Google. В тайне от пользователя вредонос получал root-доступ к устройству и начинал показывать своей жертве рекламу. На момент обнаружения троян был загружен из каталога более 500 000 раз и в основном пользовался популярностью у пользователей из России, Индии и Индонезии.
О том, что злоумышленники охотно паразитируют на таких трендах, как Pokemon GO, мы уже рассказывали ранее. Обнаруженный исследователями «Лаборатории Касперсого» вредонос является только лишним доказательством того, что злоумышленники пристально следят за происходящим в мире и не гнушаются воспользоваться шумихой вокруг того или иного явления.
Исследователи пишут, что троян, получивший имя HEUR:Trojan.AndroidOS.Ztorg.ad, очень хорошо маскировался, и именно поэтому угроза и была замечена так поздно. Так, все исполняемые файлы малвари были зашифрованы коммерческим упаковщиком, а в распакованном виде действительно содержали полезные материалы по Pokemon Go, которые троян использовал для поддержания «легенды». А за вредоносные функции отвечал небольшой модуль с обфусцированным кодом.
Заразив устройство, троян далеко не сразу переходил к активным действиям. Сначала малварь убеждалась, что не работает на виртуальной машине, и выжидала, пока пользователь установит или удалит какое-либо приложение, чтобы убедиться, что всё в порядке. Только после этого троян связывался с управляющим сервером, отправляя операторам данные о модели зараженного девайса, версии его ОС, установленном по умолчанию языке, а также данные о том, в какой стране устройство находится.
Ответ от сервера приходил в виде JSON-файла, содержащего несколько ссылок, перейдя по которым, вредонос загружал на зараженное устройство еще ряд файлов. Эти файлы и являются настоящим оружием трояна, так как они содержат эксплоиты для различных уязвимостей в Android, преимущественно обнаруженных в 2012-2015 годах. Так, один из эксплоитов был разработан Hacking Team и попал в сеть в результате прошлогоднего взлома компании.
Вооружившись, троян наконец переходит к активной фазе атаки, получает права суперпользователя, а затем устанавливает дополнительные приложения и начинает показывать жертве рекламу.
Исследователи пишут, что пока операторы трояна в основном монетизировали свой бизнес именно за счет рекламы и не распространяли дополнительную малварь. Но никто не гарантирует, что завтра им не захочется больше денег, и они не начнут распространять через ту же малварь более опасные вещи, к примеру, вымогательское ПО или банковские трояны.