Falešná aplikace Pokémon Go ohrožuje telefony s Androidem

Na stále populárnější hru v rozšířené realitě Pokémon Go se zaměřili také tvůrci škodlivých aplikací. Připravili nedočkavým uživatelům verzi obsahující zadní vrátka. Minulý týden začala společnost Niantic Labs takové malé velké šílenství, když vypustila hru Pokémon Go. Ta se téměř okamžitě stala hitem. Jak jsme ale uvedli v aktualitě, titul je dostupný jen ve vybraných zemích a například Česko je zatím postaveno mimo hru. Jako první si oficiálně mohli 4. července zahrát v Austrálii a na Novém Zélandu, o dva dny později následovalo uvolnění v USA. Nečekaně velký ohlas uživatelů dokonce vyústil v problémy na straně serveru a vývojáři údajně na nějaký čas pozastavili příliv dalších uživatelů. Vzhledem k lokálnímu omezení hráči často stahují instalační balíček z alternativních zdrojů. To sebou nese určité riziko, že ve skutečnosti stáhnou a nainstalují buď modifikovanou verzi, nebo úplně jiný program. Při instalaci je nutné v systémovém nastavení povolit instalaci aplikací z neznámých zdrojů. „Bohužel toto je extrémně riskantní postup a může snadno vést k instalaci škodlivé aplikace do mobilního zařízení,“ uvádí bezpečnostní agentura Proofpoint. „Pokud je stažený balíček APK infikován, může snadno dojít ke kompromitaci zařízení.“

První nakažený Pokémon

Netrvalo ani týden a zahraniční média začala varovat před výskytem škodlivé aplikace, vydávající se právě za hru Pokémon Go. Funguje zde tradiční sociální inženýrství, jehož cílem je přimět uživatele k instalaci bez dlouhého přemýšlení. V případě úspěšných herních titulů slaví tato taktika často velký úspěch. Podvodníci se snaží využít popularity hry k rychlému šíření škodlivé verze. V případě instalace programu z alternativního zdroje se uživatel nemůže spolehnout na žádné kontrolní mechanismy. Malware objevený odborníky ze společnosti Proofpoint funguje jako tzv. „zadní vrátka“ („backdoor“), která otevírají přístup do systému. Jedná se o upravený soubor aplikace (balíček APK), který „prakticky dává útočníkovi plnou kontrolu nad telefonem oběti.“ Konkrétně jde o škodlivý kód pro vzdálený přístup („RAT“ – „Remote Access Tool“) označovaný jako DroidJack (také známý jako SandroRAT), který komunikuje přes TCP a UDP porty 1337. První výskyt je datován k 7. červenci, zaznamenán byl tedy méně než 72 hodin poté, co byla hra oficiálně vydána v Novém Zélandu a Austrálii.

Jak poznat škodlivou variantu?

Dobrou zprávou je, že v tomto případě lze poměrně snadno zjistit, zdali jste si stáhli infikovanou variantu. Škodlivá aplikace Pokémon Go požaduje více systémových oprávnění než oficiální. Rozdíly můžete vidět na následujících snímcích. Další možnost spočívá v ověření SHA hashe, který by měl odpovídat hashi legitimní aplikace. Originální aplikace má hash 8bf2b0865bef06906cd854492dece202482c04ce9c5e881e02d2b6235661ab67, škodlivá pak 15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4. Jaké je tedy ponaučení? Tradiční: nestahovat aplikace z jiných než oficiálních zdrojů. Oficiální repozitáře mají k dispozici postupy a algoritmy pro prověřování bezpečnosti mobilních aplikací, což se v případě různých úložišť říci nedá. Pokud se přesto k takovému kroku rozhodnete, používejte pouze ověřené zdroje, nicméně i v takovém případě je nutné počítat se zvýšeným rizikem infiltrace. Rozhodně je doporučeno před instalací důkladně kontrolovat seznam požadovaných oprávnění, což platí i při v případě Obchodu Play. Pokud hru hrajete s ověřenou a bezpečnou aplikací, mohlo by se vám hodit 10 zásadních tipů a triků, které vám hra neprozradí. Zdroje: wired.co.uk, securityaffairs.co, proofpoint.com.