El fenómeno mundial de Pokémon Go ha traído consigo el nacimiento de un número cada vez mayor de aplicaciones e, inevitablemente, un aumento del interés de la comunidad cibercriminal. Los expertos de Kaspersky Lab han descubierto una nueva aplicación maliciosa en Google Play: "Guía Pokémon Go", capaz de aprovechar los derechos de acceso de root en los smartphones Android y utilizarlo para instalar/desinstalar aplicaciones y mostrar anuncios no solicitados. La aplicación ha sido descargada más de 500.000 veces, con al menos 6.000 infecciones exitosas. Kaspersky Lab ha informado del troyano a Google y la aplicación se ha retirado ya de Google Play.
El troyano introduce algunas peculiaridades interesantes para evitar ser detectado. Por ejemplo, no se inicia en cuanto la víctima se descarga la aplicación, sino que espera a que el usuario instale o desinstale otra aplicación y, a continuación, comprueba si esa aplicación se ejecuta en un dispositivo real o en una máquina virtual. Si se trata de un dispositivo, el troyano espera otras dos horas antes de comenzar su actividad maliciosa.
Tras conectar con el servidor de comando y la carga de datos del dispositivo infectado (incluyendo el país, el idioma, el modelo de dispositivo y la versión del sistema operativo) el troyano espera respuesta.
Una vez que los derechos de rooting se han habilitado, el troyano instala sus módulos en las carpetas del sistema del dispositivo. Después y en silencio instala y desinstala otras aplicaciones y publica anuncios no solicitados por el usuario.
Según Kaspersky Lab, en julio de 2016 estaba disponible en Google Play al menos otra versión de la app maliciosa “Guía Pokémon”. Además, los analistas han rastreado de nuevo al menos otras nueve aplicaciones infectadas con el mismo troyano, que han estado disponibles en Google Play en diferentes momentos desde diciembre de 2015.
Los datos del análisis sugieren que se han producido más de 6.000 infecciones con éxito hasta la fecha. Dado que la aplicación está orientada a usuarios de habla inglesa, los afectados serán en su mayoría de esos países, aunque también se han detectado víctimas en Rusia, India e Indonesia.
“En el mundo online los cibercriminales se dirigen rápidamente donde están los consumidores. Pokémon Go no es una excepción. Las víctimas de este troyano pueden no percatarse del aumento de publicidad molesta en su dispositivo, pero a largo plazo la infección podría ser mucho más preocupante. Una vez infectado el dispositivo, otra persona accederá al teléfono y tendrá control del sistema operativo y de todo lo que está almacenado en él. Aunque la aplicación ha sido eliminada de la tienda, hay más de medio millón de personas vulnerables a esta infección – y esperamos que este descubrimiento sirva para alertar de la necesidad de tomar medidas al respecto”, afirma Roman Unuchek, analista senior de Malware en Kaspersky Lab.
Los usuarios infectados por este troyano deben instalar una solución de seguridad fiable, como Kaspersky Internet Security para Android, en su dispositivo. Si ya están infectados, la mejor manera de eliminar el malware rooteado es hacer copias de seguridad de todos los datos y restablecer el dispositivo a la configuración de fábrica.
Además, Kaspersky Lab aconseja a los usuarios comprobar que las aplicaciones hayan sido creadas por un desarrollador fiable, mantener el sistema operativo y el software actualizado, y no descargar nada que parezca sospechoso o de fuentes que no puedan ser verificadas.
Para saber más del troyano de la Guía de Pokémon Go, lee el blog en Securelist.com
Todos los productos de Kaspersky Lab detectan el troyano HEUR:Trojan.AndroidOS.Ztorg.ad.
(Fuente: Kaspersky Lab)