Эксперты Proofpoint предупреждают потенциальных тренеров покемонов о существовании вредоносной версии популярной игры Pokémon Go. Она была обнаружена в одном из хакерских репозиториев и, видимо, скоро начнет распространяться itw. По свидетельству исследователей, злоумышленники добавили в игровой APK-файл инструмент удаленного администрирования, именуемый Droidjack; его установка открывает атакующему полный доступ к мобильному устройству.

Онлайн-игра дополненной реальности Pokémon Go, основанная на медиафраншизе двадцатилетней давности, появилась на американском рынке лишь неделю назад, но уже так увлекла пользователей, что ее серверы начали захлебываться в потоке запросов. Еще более удивителен тот факт, что спустя пять дней после выпуска приложения капитализация Nintendo (владельца игры) возросла почти на $11 млрд.

Ссылаясь на перегрузки на серверах, компания Niantic, разработчик Pokémon Go, приостановила ее глобальное развертывание. В настоящее время эта игра доступна лишь в интернет-магазинах США, Австралии и Новой Зеландии, а значит, у жителей других стран больше искуса скачать ее из неофициальных источников. Тем не менее пользователям Android придется для этого поработать с настройками: загрузка сторонних APK-файлов из недоверенных источников грозит нарушением безопасности, и на устройстве, скорее всего, включена соответствующая защита.

Как показал анализ, для связи с C&C вредоносное приложение Pokémon Go запрашивает домен, размещенный на динамическом IP-адресе в Турции. Такие адреса обычно используют боты, вовлеченные в спам-рассылки и другую противозаконную деятельность. В данном случае C&C-сервер размещен в домене No-IP.org, уже засветившемся во вредоносных операциях.

Исследователи также отметили, что проверить полученную из стороннего источника игру Pokémon Go на вредоносность можно по списку разрешений, которые она запрашивает. Зловредный APK-файл в данном случае должны интересовать такие возможности, как просмотр Wi-Fi-соединений, подключение по Wi-Fi и отключение, смена статуса сетевого соединения и получение данных из запущенных приложений. По начальному экрану определить подмену невозможно: он идентичен оригиналу.

«Хотя данный APK еще не появился в дикой природе, он подтверждает важный PoC-концепт, а именно: злоумышленники могут воспользоваться популярностью таких приложений, как Pokémon Go, и заставить пользователей самостоятельно устанавливать зловредов на устройства», — заключает Proofpoint.

На миниатюре представлено изображение из коллекции Рэнди Мирамонтеса (Randy Miramontez) на Shutterstock.com.

Категории: аналитика, вредоносные программы

Комментарии (1)

  1. Никита
    1

    Лично я качал эту игруху с apk4androids.com и ничего страшного, это, можно сказать копия гугл плей, только могут все скачивать все что захотят. А исходники у них из плей маркета

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *