זוהתה אפליקציית Pokemon Go זדונית חדשה המשתלטת על מכשירי אנדרואיד
מאת:
מערכת Telecom News, 14.9.16, 16:29
האפליקציה הזדונית כבר הורדה יותר מחצי מיליון פעמים. מה עושים?
מומחי מעבדת קספרסקי חשפו אפליקציית
Pokemon Go זדונית חדשה בחנות
Google Play, שמסוגלת לקבל הרשאות ליבה במכשירי אנדרואיד ולהשתמש בהן כדי להתקין/להסיר אפליקציות ולהציג פרסומים ללא אישור המשתמש.
האפליקציה -
Guide for Pokémon Go - הורדה יותר מ-500,000 אלף פעמים וגרמה עד כה ל-6,000 הדבקות מוצלחות לפחות. החברה דיווחה על הטרויאני לגוגל והאפליקציה הוסרה מהחנות.
תופעת ההיסטריה הגלובלית סביב פוקימון גו גררה אחריה מספר גדל של אפליקציות נלוות, וכחלק בלתי נפרד מכך, גם משכה את תשומת הלב של קהילת עברייני הסייבר. ניתוח של הטרויאני
Guide for Pokemon Go ע"י המומחים חשף טרויאני, שמוריד קוד זדוני לפריצת המכשיר (
rooting) ופותח גישה לליבת מערכת ההפעלה אנדרואיד לצורך התקנת והסרת אפליקציות ופרסום מודעות.
הטרויאני כולל מספר מאפיינים מעניינים המסייעים לו לחמוק מזיהוי. לדוגמא, הוא אינו מתחיל לפעול ברגע שהקורבן מפעיל את האפליקציה. במקום זאת
הוא מחכה עד שהמשתמש מתקין או מסיר אפליקציה אחרת, ואז בודק האם האפליקציה פועלת על מכשיר אמיתי או מכונה וירטואלית. אם מדובר במכשיר אמיתי, הטרויאני
ימתין שעתיים נוספות לפני שיתחיל את הפעילות הזדונית שלו. אפילו אז, ההדבקה אינה מובטחת.
לאחר יצירת חיבור לשרת הפיקוד והשליטה וטעינה של פרטים על המכשיר הנגוע, כולל מדינה, שפה, מודל המכשיר וגרסת מערכת הפעלה, הטרויאני
יחכה לתגובה. רק אם זו מגיעה, הוא ימשיך לפעול ואז
יוריד, יתקין ויטמיע מודולים זדוניים נוספים. ברגע שהטרויאני מגיע להרשאות הליבה, הוא מתקין את המודולים שלו בתיקיות המערכת של המכשיר, ובינתיים ברקע מתקין ומסיר אפליקציות אחרות ומציג מודעות למשתמש.
ניתוח מראה, שלפחות גרסה אחת נוספת של האפליקציה הזדונית
Pokemon Guide הייתה זמינה ב-
Google Play ביולי 2016. בנוסף, החוקרים הצליחו לאתר לפחות
9 אפליקציות נוספות עם אותו טרויאני בחנות
Google Play מאז דצמבר 2015.
הנתונים מצביעים על לפחות 6,000 הדבקות מוצלחות עד היום, כולל ברוסיה, הודו ואינדונזיה. עם זאת, מאחר שהאפליקציה מכוונת לדוברי אנגלית, כנראה שיש נפגעים גם באזורים דוברי אנגלית.
למשתמשים החוששים להידבק בנוזקות מסוג זה מומלץ להשתמש בפתרונות הגנה לסמארטפונים.
למשתמשים החוששים שנדבקו - הדרך הטובה ביותר להסיר את הקוד הזדוני מהליבה היא לגבות את כל הנתונים על גבי המכשיר ואז לבצע איפוס להגדרות היצרן.
בנוסף, מומלץ למשתמשים לבדוק תמיד אם האפליקציה, שהם מעוניינים להוריד, נוצרה ע"י מפתח מוכר, לשמור על מערכת ההפעלה והאפליקציות שלהם מעודכנות, ולא להוריד דבר שנראה חשוד או שהמקור שלו אינו ברור.
רומן אונצ'ק, אנליסט קוד זדוני בכיר, מעבדת קספרסקי: "בעולם המקוון, לכל מקום אליו מגיעים המשתמשים, מגיעים גם העבריינים. בכך, פוקימון גו אינו יוצא מן הכלל. קורבנות הטרויאני הזה לא מבחינים בתחילה בפרסום המעצבן והמשבש, שקופץ למסך, אבל ההשלכות ארוכות טווח של ההדבקה עלולות להיות בעייתיות. אם נדבקת, המשמעות היא, שמישהו אחר נמצא בתוך הסמארטפון שלך ויש לו שליטה על מערכת ההפעלה ועל כל דבר שאתה מאחסן במכשיר. למרות שהאפליקציה הוסרה מהאתר,
ישנם כחצי מיליון אנשים החשופים להדבקה, ואנו מקווים, שהכרזה זו תגרום להם לפעול ולהסיר את האפליקציה".
הדו"ח המלא - כאן.