Aplikace Pokémon Go Guide z Obchodu Play rootovala telefony

pokemon_ico

Aplikace Pokémon Go Guide byla v Obchodě Play více než měsíc. Mezitím si ji stáhlo více než půl milionu uživatelů. Škodlivý kód pak mohl získat naprostou kontrolu nad systémem tím, že zařízení rootnul.

Jako v případě mnoha jiných populárních aplikací, také hra Pokémon Go přivedla zájem hackerů, snažících se zneužít zapálené hráče. Jednou z cest, jak infiltrovat škodlivý kód, bylo vytvoření falešné aplikace Pokémon Go. Šíření pak nahrávala skutečnost, že hra byla oficiálně zpočátku uvolněna jen v několika zemích a vstup do dalších byl relativně pomalý. Hráči, kteří si chtěli zahrát, tak museli stahovat a instalovat balíček z neoficiálních zdrojů.

V současnosti již lze hru stáhnout ve většině zemí na světě z oficiálního repozitáře Obchod Play. Hráči tedy ztratili důvod k instalaci z jiných webů a hackeři si museli hledat jiné cesty. To se jim také dařilo – svá škodlivá dílka balili do nejrůznějších aplikací, které nějakým způsobem souvisely s Pokémon Go. Trend zaznamenala i bezpečnostní firma Kaspersky Lab a označila zatím nejúspěšnější škodlivou aplikaci. Jmenuje se Pokémon Go Guide (respektive zcela přesně Guide For Pokémon Go New a balíček se jmenuje com.pokemon.gofor.guide), vydává se za příručku ke hře a zaznamenala více než půl milionu stažení.

Pokémon Go Guide: škodlivá aplikace v Obchodě Play rootovala telefony Pokémon Go Guide: škodlivá aplikace v Obchodě Play rootovala telefony

Pokémon Go Guide v Obchodě Play

Do oficiálního repozitáře se infikovaná Pokémon Go Guide dostala díky několika ochranným vrstvám, jejichž smyslem bylo vyhnout se detekčním mechanismům Obchodu Play. Expert Roman Unuchek odhalil, že aplikace obsahuje škodlivý kód, který přebírá kontrolu nad infikovaným zařízením. Přesněji řečeno: aplikace si stáhne malware, který následně získá přístup s nejvyššími oprávněními (root). Naštěstí se kód neaktivuje okamžitě, takže je šance, že z půl milionu instalací zatím nedošlo k útoku ve všech případech. Zde autoři použili poměrně rafinovaný postup: škodlivý kód čeká na další aplikace, které mají být instalovány nebo odinstalovány, za účelem zjištění, jestli běží na reálném zařízení nebo v emulovaném prostředí. Teprve v případě, kdy je jistota, že jde o běžný telefon, dojde po dvouhodinové pauze k zahájení útoku.

Prvním krokem je připojení ke vzdálenému serveru a odeslání údajů o zařízení (například model, verze operačního systému, země, jazyk a další). Server může využít modul k získání zvýšených oprávnění skrze zranitelnosti, které byly v Androidu objeveny v letech 2012 až 2015. Google sice na všechny zranitelnosti vydal záplaty, ale kvůli roztříštěnosti ekosystému je pravděpodobné, že většina zařízení aktualizace vůbec nedostala. Když se tento krok podaří, získá škodlivá aplikace kontrolu nad celým operačním systémem. Zatím ho využívá pouze k servírování značného objemu reklam, nicméně potenciálně lze tuto cestu využít i k instalaci dalších trojanů s dalšími funkcemi.

Další hrozby čekají v řadě

Podle odborníků z Kaspersky Lab byla aplikace Pokémon Go Guide v Obchodě Play k dispozici asi měsíc. Těm, kdož do telefonu instalovali program s podobným názvem, je důrazně doporučeno provedení kontroly antivirem. Jak se totiž ukázalo, nejde o jedinou verzi infikovaného nástroje, který byl v posledních měsících k dispozici v Obchodě Play i alternativních zdrojích. Mnoho dalších aplikací s identickými či podobnými názvy bylo nebo ještě pořád je k dispozici ke stažení, některé přitom zaznamenaly až sto tisíc instalací.

Reálně tedy není jisté, že 500 000 stažení představuje počet kompromitovaných zařízení. Android má také lokální ochranné funkce, jako je ověřování aplikací a SafetyNet, které jsou navrženy tak, aby detekovaly a blokovaly známá zneužití. Kaspersky identifikoval více než 6000 úspěšných infekcí, a to především v Rusku, Indii a Indonésii. “Vzhledem k tomu, že je aplikace orientována na anglicky mluvící uživatele, je pravděpodobné, že byla zasažena především zařízení v anglofonních oblastech” uvedli výzkumníci Kaspersky Lab.

Google v posledních několika letech odvedl docela dobrou práci, aby ubránil oficiální obchod s aplikacemi před malwarem. Tento incident ale ukazuje, že jednou za čas přeci jen škodlivá aplikace ještě může proklouznout.

Zdroje: androidheadlines.com, pcworld.com, phonearena.com, csoonline.comusblog.kaspersky.com.

Karel Kilián
O Autorovi - Karel Kilián

S překonanou čtyřicítkou je s náskokem nejstarším členem redakce :-). Před několika lety hypoteticky vymyslel operační systém svých snů, aby následně zjistil, že přesně na… více o autorovi

Mohlo by vás zajímat

Komentáře (6)