« Guide de Pokémon Go » : le cheval de Troie qui attrape les dresseurs de Pokémon

15 Sep 2016

Moins de trois mois après le lancement de Pokémon Go, un malware s’est infiltré dans Google Play pour cibler les dresseurs de Pokémon. Nos experts ont découvert le cheval de Troie il y a quelques jours et l’ont immédiatement signalé à Google. Malheureusement, à ce stade, l’application malveillante appelée « Guide de Pokémon Go » a été téléchargée plus de 500 000 fois.

pokemon-go-trojan-featuredCes derniers mois, environ six millions de personnes ont essayé Pokémon Go. Il n’est pas étonnant qu’un jeu aussi populaire attire rapidement l’attention des cybercriminels : premièrement, le premier malware de Pokémon Go a été découvert en juillet, peu de temps après la sortie du jeu. A ce moment-là, la situation n’était pas aussi dangereuse : le cheval de Troie s’était infiltré dans un fichier malveillant et attendait d’être diffusé en ligne. A présent, nous allons vous raconter une toute autre histoire.

Le nouveau cheval de Troie a été découvert sur Google Play, tel un escroc professionnel, il se cachait remarquablement de façon à ce que les experts en sécurité ne le remarquent pas puis choisissait minutieusement ses victimes. Pour les « heureux élus », il montrait des pubs, énormément de pubs. Il « rootait » également leurs dispositifs et installait une tonne d’autres fichiers malveillants et d’applications non désirées.

Comment ça fonctionne ?

Pour dissimuler la présence du malware des scanners antivirus, les fichiers exécutables du cheval de Troie étaient compressés avec un logiciel de compression commercial. Les fichiers décompressés contenaient un contenu utile de Pokémon Go (en réalité le cheval de Troie) et un petit module avec un code impénétrable.

pokemon-go-trojan-screenshot-1

Après avoir installé le Guide de Pokémon Go, le malware attendait pendant quelque temps sans faire de bruit. Cette pause était intentionnelle : le malware avait besoin de savoir s’il se trouvait sur un vrai dispositif ou sur une machine virtuelle. Cette dernière est une illusion d’un appareil informatique créée par un logiciel d’émulation que les experts utilisent pour vérifier comment fonctionnent des applications douteuses dans des conditions différentes.

Après s’être assuré qu’il était sur un vrai dispositif, le cheval de Troie envoyait un message au serveur de commande et contrôle exécuté par les cybercriminels. Le compte-rendu contenait des informations sur le dispositif infecté : le modèle, la version du système d’exploitation, le pays, la langue par défaut, et plus.

pokemon-go-trojan-screenshot-2

Le serveur analysait les informations, décidait si les victimes répondaient à leurs besoins, et informait le cheval de Troie de sa décision. Avec l’autorisation du serveur, le Guide de Pokémon Go téléchargeait des fichiers malveillants supplémentaires (leur code était également brouillé). Ces fichiers s’avéraient être l’artillerie lourde du cheval de Troie, ils avaient exploité un certain nombre de vulnérabilités découvertes entre 2012 et 2015.

Le malware armé rootait le système, installait silencieusement des applis additionnelles, et submergeait le téléphone de pubs.

Seulement des pubs ? Est-ce vraiment dangereux ?

Les publicités sont rarement plaisantes. Il est bien beau de regarder des publicités sur Google, mais c’est en quelque sorte une façon de payer pour ses services « gratuits ». Et il s’agit d’une toute autre histoire lorsque des hackers infectent votre téléphone d’un malware dans le but de diffuser tout le temps des bannières publicitaires.

Néanmoins, la partie la plus redoutable est cachée : le Guide de Pokémon Go peut secrètement installer nimporte quelle application sur votre dispositif. Pour le moment, les cybercriminels ont choisi une manière relativement douce de se faire de l’argent : les pubs. Demain, ils pourraient décider d’augmenter leurs revenus en bloquant votre mobile et en demandant une rançon, ou en vous volant de l’argent sur votre compte en banque.

Même si le cheval de Troie a été supprimé de Google Play, 500 000 personnes l’ont quand même téléchargé. On sait avec certitude que le cheval de Troie infectait des dispositifs en Russie, en Inde, et en Indonésie. Mais ciblait également des utilisateurs de pays anglophones, d’où le fait qu’il y ait certainement plus de victimes à travers le monde.

Comment s’en protéger

Si vous pensez que votre mobile pourrait être infecté par ce cheval de Troie, supprimez les applications malveillantes et analysez votre système avec Kaspersky Antivirus & Security for Android. C’est gratuit. Nos solutions de sécurité détectent le cheval de Troie comme étant HEUR:Trojan.AndroidOS.Ztorg.ad.

Pour vous en protéger à l’avenir, suivez ces quelques règles :

1.Gardez en tête que même si vous téléchargez des applis sur des boutiques officielles, rien n’est sûr à 100%. Parfois, les cybercriminels contournent les protections de Google et d’autres entreprises. Le Guide de Pokémon Go en est un bon exemple.

2.Installez le plus vite possible des patchs de sécurité sur votre smartphone (et également sur votre ordinateur). Les cybercriminels se jettent sur les vulnérabilités des systèmes d’exploitation à la fois des mobiles et des ordinateurs.

3.Rappelez-vous que les notes et avis sur Google Play ne sont pas foncièrement fiables. Les hackers peuvent les contrefaire à l’aide d’un malware spécial. Par exemple, le malware Guide de Pokémon Go avait obtenu 4 étoiles sur Google Play.