Ứng dụng Pokemon giả mạo root và cướp quyền điện thoại thiết bị Android
Ứng dụng có tên “Guide for Pokémon Go” đã tìm cách có mặt tại Google Play Store và có hơn 500.000 lượt tải và cài đặt trên điện thoại . Kaspersky nói rằng những dữ liệu mà họ nhận được cho thấy có ít nhất 6000 người có điện thoại đã bị root lại và bị tin tặc phát triển mã độc trên điều khiển .
Nghiên cứu sâu hơn cho thấy một phiên bản khác của ứng dụng này đã được cập nhật trên Play Store trong tháng Bảy nhưng về sau đã bị gỡ bỏ . Cùng loại trojan có trong “Guide for Pokémon Go” đã được tìm thấy trong 9 ứng dụng khác được tải lên tại những thời điểm khác nhau và dưới những tên gọi khác nhau trên Play Store .
Kaspersky cho biết hầu hết trong 9 ứng dụng không có lượt tải về quá 10.000 lần nhưng có 1 ứng dụng có tới hơn 100.000 lượt tải về .
Phân tích kỹ thuật loại trojan này , Kaspersky đã nhận diện nó với tên gọi HEUR:Trojan.AndroidOS.Ztorg.ad và là loại mã độc Android rất tiên tiến với nhiều lớp bảo vệ khiến cho các chuyên gia rất khó phân tích .
Sau khi lây nhiễm tới thiết bị , trojan này không liên hệ với tin tặc ngay mà nó chờ người dùng thực hiện những việc làm như cài đặt hoặc gỡ bỏ một ứng dụng nào đó khác . Vói cách này trojan biết chắc nó không phải chạy trong môi trường máy ảo hoặc mô phỏng và chỉ bộc lộ những việc làm độc hại khi biết chắc thiết bị này đang được một người dùng thực sự sử dụng .
Nhưng những việc làm trên không diễn ra thì nó chờ tới 2 giờ sau khi nhận biết đang được một người dùng thực sự nó mới liên hệ tới máy chủ CnC . Trojan gửi chi tiết của thiết bị để đăng kí là nạn nhân mới và sau đó chờ nhận mệnh lệnh . Nó không thực hiện bất kì hành động nào cho tới khi máy chủ phản hồi hai lần một yêu cầu cho mệnh lệnh . Điều này để đánh lừa các công nghệ phân tích .
Ngay sau khi tin tặc điều khiển máy chủ CnC quyết định hành động , nó gửi file JSON với nhiều đường link để theo đó trojan tải những file này về vào thiết bị lây nhiễm . Những file này có chứa những khả năng root khác nhau tới thiết bị Android . Nó khai thác những lỗi đã phát hiện trong khoảng thời gian từ giữa năm 2012 và 2015 để root vào thiết bị .
Kaspersky cho biết “ Nạn nhân loại trojan này thậm chí không chú ý tới sự xuất hiện ngày càng tăng của những quảng cáo khó chịu nhưng lâu về sau tần suất xuất hiện ngày càng nhiều . Hiện tại ứng dụng này đã bị gỡ bỏ nhưng có khoảng nửa triệu người đã bị lây nhiễm loại mã độc trên “.
