Złośliwy Pokémon GO grasuje w Sieci. Gracze instalują go na własne życzenie
Pokémon GO zawojował Internet, mimo że nie miał przecieżjeszcze światowej premiery, oficjalnie debiutując jedynie w kilkupaństwach. Nie przeszkodziło to w rozpowszechnieniu się aplikacjipoza oficjalnymi sklepami. Fani instalują na swoich telefonach tędarmową grę albo poprzez sztuczki z VPN-ami, albo bezpośredniopobierając plik instalacyjny z innych źródeł. Potem tylko kilkakliknięć i już można ruszać w teren, łapać Pokemony. Niestetyjednak w czasie gdy szczęśliwy gracz łapie Pokemony,cyberprzestępcy mogą łapać jego wrażliwe dane.
Firma Proofpoint odkryłauzłośliwioną wersję aplikacji Pokémon GO, w której znalazł sięDroidJack, narzędzie zdalnego dostępu (RAT), otwierające wsystemie furtkę dla napastników. Wersja ta pojawiła się zaledwiekilka godzin po tym, jak ze sklepu Play wydobyto plik instalacyjny –i jak sprawdziliśmy, niestety jest całkiem popularna w Internecie.
Przeszukaliśmy otóż popularne pirackie sklepy i repozytoriaplików .apk pod kątem jej występowania – łącznie ok. 12źródeł. Wieści są nie najlepsze, przynajmniej jedna trzeciałatwo dostępnych kopii Pokemon GO jest uzłośliwiona. Rozpoznaćje łatwo; jeśli macie w systemie narzędzie sha256sum, możeciepoliczyć kryptograficzny skrót pliku. Wersja uzłośliwiona zwróciciąg15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4.Wersja „czysta”, którą możecie pobrać z naszegorepozytorium, zwróci ciąg8bf2b0865bef06906cd854492dece202482c04ce9c5e881e02d2b6235661ab67.
Jeśli nie macie możliwości sprawdzenia wartości skrótusha256, pozostaje sprawdzić uprawnienia aplikacji w Ustawienia >Aplikacje > Pokemon GO > Uprawnienia. Zdrowy „pokemon” chcedostępu tylko do kamery, kontaktów, lokalizacji i pamięci.Uzłośliwiona wersja gry chce znacznie więcej – możebezpośrednio wywoływać połączenia telefoniczne, wysłać SMS-y,nagrywać dźwięk, modyfikować listę kontaktów, odczytywaćhistorię przeglądarki i zakładki, zmieniać ustawienia sieci ipozyskiwać listę uruchamianych na starcie aplikacji. Poza tymżadnych różnic wizualnych nie ma, niezorientowany użytkownik możełatwo paść tu ofiarą cyberprzestępców.
Ten atak więcej ma w sobie społecznej inżynierii niżtechnicznej zmyślności – wbudowanie DroidJacka w plik .apk jestproste. Cyberprzestępcy świetnie jednak wykorzystali połączeniedwóch czynników, tj. ograniczonego debiutu gry w oficjalnym kanale,sklepie Google Play, oraz ogromne zainteresowanie fanów Pokemona zcałego świata. Tu gracz sam sobie instaluje malware, sam oddaje muuprawnienia, wierząc, że niebawem złapie je wszystkie – atymczasem sam zostaje złapany, wyłączywszy wcześniejzabezpieczenia Androida.
Bezpieczny plik .apk Pokémon GO znajdziecie w naszymrepozytorium.