Gdy jakaś gra zyskuje na popularności często w sieci i Google Play pojawiają się wszelkiej maści poradniki lub programy, które mają wspomóc rozgrywkę. Kaspersky Lab wykrył szkodliwego trojana, który ukrywał się pod postacią aplikacji “Guide for Pokemon Go”. Aplikację pobrało ponad 500 000 użytkowników z Google Play, z czego szacuje się, że trojan mógł zainfekować około 6000 urządzeń. Aplikacja została już usunięta ze sklepu Google, jednak wciąż może być dostępna w sieci.
Dlaczego trojany są tak niebezpieczne? Trojan zawiera kilka interesujących funkcji, które pomagają mu uniknąć wykrycia. Na przykład nie aktywuje się w momencie uruchomienia aplikacji przez ofiarę, lecz czeka, aż użytkownik zainstaluje lub odinstaluje kolejną aplikację. Następnie sprawdza, czy ta aplikacja uruchamia się na fizycznym urządzeniu, czy na maszynie wirtualnej. Jeśli ma do czynienia z urządzeniem, trojan czeka kolejne dwie godziny, aby rozpocząć swoją szkodliwą aktywność. Nawet wtedy nie ma pewności, że nastąpi infekcja. Po połączeniu się z cyberprzestępczym serwerem kontroli i wysłaniu szczegółowych danych dotyczących zainfekowanego urządzenia, obejmujących państwo, język, model urządzenia oraz wersję systemu operacyjnego, trojan czeka na odpowiedź. Dopiero po otrzymaniu instrukcji przechodzi do dalszych działań oraz pobierania, instalowania i implementacji dodatkowych szkodliwych modułów.
To oznacza, że serwer kontroli może powstrzymać atak, jeśli takie jest życzenie cyberprzestępców – pomijając na przykład tych użytkowników, którzy nie posiadają odpowiedniej wersji systemu lub uruchamiają aplikacje w emulatorze systemu Android. To stanowi dodatkową warstwę ochrony dla szkodliwego oprogramowania. Po uzyskaniu praw administratora trojan dodaje swoje moduły do folderów systemowych urządzenia, jednocześnie instalując i usuwając ukradkowo inne aplikacje i wyświetlając na ekranie smartfona lub tabletu niechciane reklamy.