Alcuni di voi forse si ricordano ancora le piccole e adorabili bestioline tascabili in voga alla fine degli anni novanta. Ora sono tornate sotto forma di gioco in realtà aumentata per smartphone. I cybercriminali sfruttano la popolarità di questo nuovissimo gioco scommettendo su giocatori impazienti che non vogliono attendere l’uscita ufficiale del gioco in Europa: scoperta prima versione manipolata della app.
Chi pare congelarsi per qualche secondo mentre fissa intensamente il proprio smartphone in un centro commerciale o per strada e poi riprende a camminare, borbottando “l’ennesimo pidgey”… sta indubbiamente giocando a Pokémon Go, la app in realtà aumentata per smartphone in cui rivive il famoso gioco per il Game Boy della Nintendo, che unisce mondo reale a piattaforma ludica. E’ infatti possibile catturare piccoli e graziosi animaletti animati, ma per farlo è necessario uscire fisicamente di casa per andare nel posto in cui le bestioline raccolgono, che sia un parco pubblico, per strada o appunto nel centro commerciale. Gli sviluppatori danno agli avidi collezionisti di questi piccoli animaletti giapponesi una nuova occasione per riaccendere vecchie passioni.
La app manipolata Il turbinio attorno al gioco é stato un richiamo irresistibile anche per alcuni cybercriminali: su una rete di condivisione file é già stata rilevata una versione manipolata della app per l’installazione del gioco che contiene un comando per il controllo remoto di device Android. A quanto risulta, la app originaria é stata rimanaeggiata con “DroidJack”, uno strumento impiegato spesso legittimamente dagli sviluppatori, per integrarvi il malware “AndroRAT”.
AndroRAT (Remote Access Tool), già noto dal 2012/2013 e citato nel G DATA Mobile Malware Report H1/2013 fornisce numerose informazioni personali ai criminali, tra cui, ma non solo, l’elenco dei contatti, log e coordinate GPS. Ricordiamo che l’attivazione del GPS è essenziale per poter andare “a caccia” di bestioline. I criminali possono persino attivare il microfono e la fotocamera da remoto. I dati così trafugati dai dispositivi infetti vengono rivenduti e non sono da escludere casi di ricatto sulla base delle registrazioni audio-video condotte all’insaputa degli utenti.
Quando si installa una app, vengono elencate le autorizzazioni richieste. In questo caso, gli utenti più attenti possono identificare immediatamente app sospette. L’attuale versione di Android peraltro indica all’apertura di una app se un dato comando va eseguito, ma sono solo pochi gli utenti che beneficiano ad oggi del nuovo sistema operativo Android.
Da notare anche che la versione della app studiata dai ricercatori dei G DATA Security Labs disponeva persino di un certificato scaduto. Il detentore del certificato gestisce anche di un blog, che pare inattivo dal 2014. Non ci è stato quindi possibile rilevare se la app manipolata sia stata distribuita da questo individuo o se il certificato da lui emesso sia stato rubato e quindi abusato a scopo fraudolento.
Chi protegge i propri dispositivi mobili con G DATA Mobile Internet Security per Android é protetto da questa app manipolata, che viene riconosciuta come “Android.Trojan.Kasandra.B”
Perché tutto questo In generale eventi del genere dimostrano che i criminali si adattano e possono reagire ai trend del momento molto rapidamente. Per distribuire il malware, i suoi programmatori fanno affidamento sull’alea di “esclusività” che dà giocare ad un gioco che non è ancora uscito ufficialmente sul mercato – una sensazione molto simile, per esempio, a quella dei collezionisti di dischi in vinile, quando riescono ad assicurarsene un esemplare di una edizione limitata, numerato a mano.
Il giocatore installa quindi la app manipolata e condivide con terzi ignoti informazioni che altrimenti sarebbero state riservate. Ci aspettiamo che questo tipo di manipolazioni aumentino, troppo grande il desiderio di trarre profitto dall’entusiasmo degli utenti. Eppure, per giocare in tutta sicurezza, evitando di fornire informazioni personali a chi non dovrebbe averle e magari di restare impalati in mezzo alla strada o di finire in stradine secondarie poco raccomandabili o giù da un declivio, basta giusto usare la testa!
Sul blog di G DATA alcuni consigli su come proteggersi (articolo in inglese)