El troyano para Pokémon Go que caza entrenadores Pokémon

Hemos descubierto un troyano para Pokémon Go en Google Play. Ya se ha descargado 500 000 veces.

Han pasado menos de tres meses desde que se lanzara Pokémon Go y los delincuentes ya han colado un malware en la Google Play para ir tras los entrenadores Pokémon. Nuestros expertos descubrieron hace días un troyano e inmediatamente informaron a Google. Por desgracia, para entonces la aplicación maliciosa llamada “Guide for Pokémon Go” ya acumulaba la cifra de 500 000 descargas.

En los últimos meses, casi 6 millones de personas han probado Pokémon Go. No hay duda de que el juego tan popular llamó en seguida la atención de los ciberdelincuentes: el primer malware para Pokémon Go se detectó en julio, poco después de lanzar el juego. En ese momento, la situación no era tan peligrosa. El troyano estaba en una carpeta de archivos maliciosos y esperó hasta propagarse, pero la historia que tenemos ahora es bien diferente.

Este nuevo troyano se descubrió en Google Play. Como un profesional, se ocultó con éxito de los expertos en seguridad y elegía a sus víctimas con cautela. A los “elegidos” les enseñaba publicidad, en gran cantidad. También rooteaba sus dispositivos e instalaba otros tantos archivos y aplicaciones maliciosos.

¿Cómo funciona?

Para ocultar el malware de los análisis de los antivirus, los archivos ejecutables del troyano se habían comprimido con un software comercial. Los archivos descomprimidos incluían contenido útil de Pokémon Go (el disfraz del troyano) y un pequeño módulo con código ofuscado.

Después de que un usuario instalara “Guide for Pokémon Go”, el malware aguardaba en silencio durante un tiempo, cosa que hacía deliberadamente: el malware debía saber si estaba en un dispositivo real o en una máquina virtual (un sistema informático emulado que los expertos en seguridad usan para comprobar cómo se comportan las aplicaciones maliciosas en condiciones diferentes).

Una vez que confirmaba que estaba en un dispositivo real, el troyano enviaba un mensaje al servidor de mando y control de los ciberdelincuentes. El informe incluía información sobre el dispositivo infectado: modelo, versión del sistema operativo, país, idioma por defecto, etc.

El servidor analizaba la información, decidía si la víctima encajaba en sus necesidades e informaba al troyano de su decisión. Con el permiso del servidor, Guide for Pokémon Go descargaba archivos maliciosos adicionales (cuyo código también estaba ofuscado). Estos archivos eran las armas del troyano, pues le permitían utilizar varias vulnerabilidades descubiertas entre 2012 y 2015.

El malware armado rooteaba el sistema, instalaba aplicaciones adicionales e inundaba el teléfono con anuncios.

¿Solo anuncios? ¿Tan peligrosos son?

Los anuncios no suelen ser agradables. Además, una cosa es que veas los anuncios de Google (así es como pagas por sus servicios “gratuitos”) y otra muy distinta es que unos delincuentes infecten tu teléfono con malware para mostrar anuncios todo el tiempo.

Aun así, lo peor de esta infección está oculto: Guide for Pokémon Go puede instalar en secreto cualquier aplicación en tu dispositivo. Por ahora, los delincuentes han elegido un modo relativamente leve de ganar dinero: la publicidad. Mañana, puede que decidan incrementar sus ganancias y bloqueen tu dispositivo para pedir un rescate (o roben dinero de tu cuenta bancaria).

Aunque ya se ha retirado el troyano de la Google Play, medio millón de personas lo habían descargado. Sabemos que el troyano infectaba dispositivos de Rusia, India e Indonesia, pero también tenía en el punto de mira a usuarios de regiones angloparlantes y, desde luego, hay más víctimas por el mundo.

Cómo protegerte

Si te preocupa que tu dispositivo se infecte con este troyano, borra la aplicación maliciosa y analiza tu dispositivo con Kaspersky Antivirus & Security for Android. Es gratis. Nuestras soluciones de seguridad detectan el troyano como HEUR:Trojan.AndroidOS.Ztorg.ad.

Para protegerte en el futuro, sigue estas normas:

Ten en cuenta que aunque solo descargues aplicaciones desde las tiendas oficiales, nada es 100 % seguro. A veces, los delincuentes se saltan las protecciones de Google y las de otras compañías (Guide for Pokémon Go es un buen ejemplo).

Instala de inmediato parches de seguridad en tu smartphone (y también en tu ordenador). Los ciberdelincuentes se aprovechan de las vulnerabilidades de los sistemas operativos móviles y para ordenador.

Recuerda que las valoraciones y las puntuaciones en Google Play no son necesariamente de fiar, los delincuentes pueden falsificarlas mediante el uso de malware especial. Por ejemplo, el malware Guide for Pokémon Go tenía cuatro estrellas en Google Play.

Consejos