На Google Play проникла троянская программа, которая раздается в комплекте с руководством к популярной онлайн-игре Pokémon Go и позволяет получить права суперпользователя на Android-устройстве.

Ссылаясь на статистику магазина Google, эксперт «Лаборатории Касперского» Роман Унучек отметил в блог-записи, что за прошлый месяц вредоносный файл, детектируемый продуктами компании как HEUR:Trojan.AndroidOS.Ztorg.ad, был скачан более 500 тыс. раз. Более того, по данным исследовательского центра GReAT «Лаборатории», новый рутовальщик уже успешно инфицировал 6 тыс. пользователей.

По свидетельству Унучека, зараженное приложение ориентировано на англоязычных пользователей, однако современная популяция Ztorg ограничена в основном территорией России, Индии и Индонезии.

Чтобы уберечь свое детище от обнаружения, вирусописатели используют коммерческий упаковщик. С той же целью код троянца обфусцирован. После запуска троянизированное приложение не сразу проявляет вредоносную активность, а лишь после того, как пользователь установит или удалит какую-нибудь другую программу. Удостоверившись, что он запущен не на виртуальной машине, Ztorg выжидает два часа для верности, а потом начинает действовать.

вредоносное приложение Pokemon Guide - Лаборатория Касперского

Подключившись к командному серверу, зловред загружает на него данные о зараженном устройстве (язык устройства, страну, модель, версию ОС и т.п.), чтобы операторы смогли решить, продолжать или абортировать атаку. «Если от управляющего сервера пришел ответ, содержащий определенную строку, то троянец сделает похожий запрос, в результате чего ему должен прийти JSON-файл, содержащий ссылку на вредоносный файл, который троянец скачает, расшифрует и запустит», — пишет Унучек. В противном случае Ztorg сделает двухчасовую паузу и вновь подаст запрос на присвоение ID.

Получив от операторов добро, Android-троянец скачивает и запускает на исполнение основной модуль, который загружает на устройство наборы эксплойтов для получения прав root, бэкдоры и других троянцев. Некоторые из этих зловредов, по свидетельству GReAT, были созданы еще в 2012 году, в том числе эксплойты Hacking Team. Получив права суперпользователя, Ztorg устанавливает свои модули в системные папки, а затем начинает скрытно ставить и удалять сторонние приложения, в том числе adware.

Заметим, несмотря на защиту, вредоносным приложениям время от времени все же удается проникнуть в официальный магазин Google. Так, в минувшем июне на Google Play тоже были обнаружены и впоследствии удалены рутовальщики, а в начале года — еще один.

По словам Унучека, вредоносный Pokémon Guide — далеко не первая инкарнация Ztorg на Google Play. С конца прошлого года исследователи насчитали девять зараженных им приложений (ныне все они недоступны). Одно из них, Digital Clock, было загружено более 100 тыс. раз.

Число поклонников популярной игры Pokémon Go, ежедневно посвящающих ей свой досуг, к осени заметно уменьшилось, однако все еще измеряется миллионами. Злоумышленники отреагировали на всеобщее увлечение очень быстро: вредоносная, забэкдоренная версия Pokémon Go появилась спустя неделю после выпуска этой игры. Разработчики вымогательского ПО тоже не замедлили себя ждать — в августе появился шифровальщик, замаскированный под Pokémon Go для Windows.

Категории: Аналитика, Вредоносные программы, Главное