{"id":8938,"date":"2016-09-14T15:30:50","date_gmt":"2016-09-14T15:30:50","guid":{"rendered":"https:\/\/kasperskydaily.com\/italy\/?p=8938"},"modified":"2019-11-22T11:17:39","modified_gmt":"2019-11-22T09:17:39","slug":"pokemon-go-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/pokemon-go-malware\/8938\/","title":{"rendered":"Il Trojan di Guida Pokemon Go cattura gli allenatori di Pokemon"},"content":{"rendered":"

Meno di tre mesi dopo il lancio di Pokemon Go, i criminali hanno introdotto un malware su Google Play che prendeva di mira gli allenatori di Pokemon. I nostri esperti hanno scoperto il Trojan<\/a> diversi giorni fa e l\u2019hanno immediatamente riferito a Google. Sfortunatamente, in quel momento, l\u2019app dannosa dal nome Guida Pokemon Go era stata gi\u00e0 scaricata pi\u00f9 di 500.000 volte.<\/p>\n

Negli ultimi mesi quasi 6 milioni di persone hanno provato Pokemon Go. Non c\u2019\u00e8 da stupirsi sul fatto che il famosissimo gioco abbia catturato velocemente l\u2019attenzione<\/a> dei cybercriminali: il primo malware per Pokemon Go \u00e8 stato rilevato a luglio<\/a>, subito dopo il lancio del gioco. In quel momento, la situazione non era cos\u00ec pericolosa. Il Trojan veniva conservato in un file vault dannoso e aspettava solo di essere diffuso in rete. Ma adesso la storia \u00e8 diversa.<\/p>\n

Questo nuovo Trojan \u00e8 stato scoperto su Google Play. Come un furfante professionista, si nascondeva magistralmente dagli esperti di sicurezza e sceglieva attentamente le vittime. A quei \u201cprescelti\u201d, mostrava pubblicit\u00e0 (tanta pubblicit\u00e0). Si insinuava nei loro dispositivi e installava una serie di altri file dannosi e di app indesiderate.<\/p>\n

Come funziona?<\/b><\/h3>\n

Per nascondere il malware dalle scansioni dell\u2019antivirus, i file eseguibili del Trojan venivano compressi con un packer di software<\/a> commerciale. I file decompressi includevano contenuto utile per Pokemon Go (il camuffamento del Trojan) e un piccolo modulo con un codice offuscato<\/a>.<\/p>\n

\"A<\/a><\/p>\n

Dopo che un utente installava la Guida Pokemon Go, il malware aspettava in silenzio qualche tempo. Questa pausa era abbastanza intenzionale: il malware aveva bisogno di sapere se si trovava su un dispositivo o su una macchina virtuale<\/a> (una simulazione di un sistema informatico che gli esperti di sicurezza utilizzano per controllare come si comportano le app sospette in diverse situazioni).<\/p>\n

Dopo aver avuto la conferma che si trovava su un vero dispostivo, il Trojan inviava un messaggio a un server command and control<\/a> avviato dai cybercriminali. Il report includeva informazioni sul dispositivo infetto: modello, versione di OS, paese, lingua predefinita e tanto altro.<\/p>\n

\"A<\/a><\/p>\n

Il server analizzava le informazioni, decideva se la vittima rispondeva alle sue esigenze e informava il Trojan sulla decisione. Con il permesso del server, la Guida Pokemon Go scaricava file dannosi aggiuntivi (anche il loro codice era offuscato). Questi file erano l\u2019armamento pesante del Trojan: gli permettevano di utilizzare diverse vulnerabilit\u00e0 scoperte dal 2012 al 2015.<\/p>\n

Il malware cos\u00ec armato entrava nel sistema, installava app aggiuntive e riempiva il telefono di pubblicit\u00e0.<\/p>\n

Solo pubblicit\u00e0? \u00c8 davvero pericoloso?<\/b><\/h3>\n

Raramente le pubblicit\u00e0 sono piacevoli. Oltretutto, un conto \u00e8 guardare la pubblicit\u00e0 su Google (\u00e8 un modo in cui pagate per i suoi servizi \u201cgratuiti\u201d), un altro \u00e8 quando i criminali infettano il vostro telefono con malware per mostare banner tutto il tempo.<\/p>\n

Ad ogni modo, la parte peggiore di questo contagio \u00e8 occulta: Guida Pokemon Go pu\u00f2 installare segretamente qualsiasi app sul vostro dispositivo. Per adesso, i criminali hanno scelto un modo relativamente soft per fare soldi: le pubblicit\u00e0. In futuro, potrebbero decidere di aumentare i loro profitti bloccando il vostro dispositivo e chiedendo un riscatto (o rubando soldi dal vostro account bancario).<\/p>\n

\n

Why you shouldn\u2019t trust the reviews and ratings on #Google<\/a> Play https:\/\/t.co\/aMdYbh3T1F<\/a> pic.twitter.com\/n8QmQtAElm<\/a><\/p>\n

\u2014 Eugene Kaspersky (@e_kaspersky) September 1, 2016<\/a><\/p><\/blockquote>\n