Вредоносное приложение-руководство к игре Pokemon Go для Android скачали 500 тыс. раз

Эксперт «Лаборатории Касперского» Роман Унучек рассказал о вредоносном ПО для Android-устройств, атакующем поклонников Pokemon GO. Троян HEUR:Trojan.AndroidOS.Ztorg.ad (по версии ЛК) распространялся с приложением-руководством к популярной игре Guide For Pokemon Go и за прошедший месяц был загружен из Google Play 500 тыс. раз. По подсчетам ЛК, вредонос успешно инфицировал порядка 6 тыс. устройств, в том числе в России, Индонезии и Индии.

С декабря прошлого года эксперты обнаружили в Google Play еще как минимум девять приложений, инфицированных данным трояном. Как показал анализ, Guide For Pokemon Go содержит вредоносный код, загружающий ПО, способное получать права суперпользователя на устройстве с целью загрузки сторонних приложений и рекламы.

Ztorg.ad обходит обнаружение с помощью нескольких уровней защиты. Код трояна обфусцирован, а приложение упаковано коммерческим упаковщиком. Вредоносная активность начинается не сразу после запуска программы, а при определенных условиях. Когда жертва инсталлирует или удалит любое другое приложение, троян определит, не запущен ли он на виртуальной машине. Установив, что работает на настоящем устройстве, вредонос остается в бездействии в течение еще двух часов и только затем активизируется.

Троян подключается к C&C-серверу и передает данные об инфицированном устройстве (язык, страну, модель, версию ОС и IMSI). После отправки первого запроса он получает ответ, может ли сервер с ним коммуницировать. Это позволяет операторам Ztorg.ad отсеивать нежелательных пользователей по определенным параметрам (к примеру, по местоположению) или автоматические системы проверки. Получив ответ, содержащий определенную строку, вредонос сделает еще один запрос и получит от сервера JSON-файл с ссылкой на вредоносный файл HEUR:Trojan.AndroidOS.Ztorg.ad. Далее он загружает файл и расшифровывает. После расшифровки троян запускает его как внешний модуль, загружающий на устройство жертвы вредоносные (в том числе эксплоиты) и легитимные (busybox и chattr) программы.