Un’app Pokémon Go malevola installa una backdoor sui dispositivi Android

Gli esperti di Proofpoint avvertono i potenziali Allenatori di Pokémon riguardo all’esistenza di una versione dannosa del popolare videogioco Pokémon Go. L’app nociva è stata individuata in un repository di file di natura malevola e, con ogni probabilità, la stessa inizierà ben presto a diffondersi “in-the-wild”. Secondo i ricercatori, i malintenzionati hanno aggiunto ad un file APK (Android application package file) del gioco uno strumento di amministrazione remota (RAT) denominato Droidjack; l’installazione di quest’ultimo consente all’attacker di ottenere il pieno accesso al dispositivo mobile.

Pokémon Go, videogame che fa uso della realtà aumentata, basato su un media franchise giapponese creato circa venti anni fa, è comparso soltanto da pochi giorni sul mercato statunitense (il 7 luglio scorso), ma ha subito acquisito una vastissima popolarità, al punto che i server ad esso dedicati, visto l’ingente flusso di richieste, si sono ripetutamente bloccati. Ancora più sorprendente, poi, è il fatto che appena cinque giorni dopo la release dell’applicazione di gaming, la capitalizzazione di Nintendo (la società proprietaria del gioco) era già cresciuta di quasi 11 miliardi di dollari.

In ragione dei sovraccarichi verificatisi sui server, Niantic, la software house che ha sviluppato Pokémon Go assieme a Nintendo, ha addirittura dovuto sospendere per qualche giorno la distribuzione del prodotto su scala globale. Attualmente, il gioco in questione risulta disponibile soltanto nei negozi Internet di Stati Uniti, Australia, Nuova Zelanda e di una ristretta cerchia di paesi europei (Germania, Gran Bretagna, Italia, Spagna, Portogallo); ciò significa che gli utenti situati in altri paesi potrebbero essere tentati dall’effettuare il download dell’applicazione da fonti non ufficiali. Per far questo, tuttavia, gli utenti Android debbono necessariamente intervenire sulle impostazioni presenti sul proprio dispositivo. Ovviamente, il download di file APK di terze parti da fonti non attendibili rappresenta una pratica rischiosa, visto che può nascondere concrete minacce a livello di sicurezza IT; per tale motivo, il dispositivo Android prevede, nelle impostazioni di sicurezza, la possibilità di non consentire l’installazione di applicazioni da fonti sconosciute; si tratta, nella circostanza, di un settaggio di protezione che, molto probabilmente, risulta già attivato sul device dell’utente.

Le analisi condotte hanno dimostrato che l’app Pokémon Go malevola comunica con un C&C collocato su un dominio provvisto di indirizzo IP dinamico, situato in Turchia. Simili indirizzi, in genere, vengono utilizzati dai bot dispiegati per la conduzione di campagne di spam, oppure per svolgere altre attività di natura sospetta o illegale. Nel caso qui esaminato, il server C&C risulta ospitato nel dominio No-IP.org, un sito già utilizzato in passato, dai cybercriminali, per cercare di occultare altre operazioni malware.

I ricercatori hanno ugualmente sottolineato come sia ad ogni caso possibile verificare la potenziale pericolosità della versione del videogioco Pokémon Go scaricata attraverso una fonte non ufficiale, esaminando l’elenco dei permessi richiesti dall’app al momento dell’installazione. Il file APK maligno richiede, di fatto, di poter “vedere” le connessioni Wi-Fi disponibili; di collegarsi al Wi-Fi e disconnettersi dallo stesso; di poter apportare cambiamenti allo stato della connessione di rete; l’app malevola richiede, infine, l’accesso ai dati relativi alle applicazioni in esecuzione. Attraverso la schermata iniziale non si rivela possibile determinare l’avvenuta sostituzione dell’app, visto che, nella circostanza, l’applicazione infetta appare del tutto identica al videogioco originale.

“Sebbene tale APK non sia ancora comparsa in-the-wild, essa ribadisce un “Proof of Concept” di particolare importanza: i malintenzionati possono di fatto approfittarsi dell’elevato livello di popolarità raggiunto da applicazioni quali Pokémon Go, per cercare di indurre gli utenti ad installare autonomamente del malware sui propri dispositivi”, – conclude Proofpoint.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *