Der Trojaner „Guide für Pokémon Go“ erwischt Pokémon-Trainer

14 Sep 2016

Weniger als drei Monate nach der Veröffentlichung von Pokémon Go schmuggelten Kriminelle Malware in Google Play, um Pokémon-Trainer zu erreichen. Unsere Experten entdeckten den Trojaner vor einigen Tagen und informierten Google unverzüglich. Leider war die schädliche App mit dem Namen Guide für Pokémon Go schon bereits mehr als 500.000 Mal heruntergeladen worden.

A Pokémon Go Trojan in Google Play

In den vergangenen paar Monaten probierten fast 6 Millionen Personen Pokémon Go aus. Es ist nicht verwunderlich, dass das überaus beliebte Spiel schnell die Aufmerksamkeit von Cyberkriminellen erregte. Die erste Malware für Pokémon Go wurde im Juli entdeckt; kurz nach der Veröffentlichung des Spiels. Zu diesem Zeitpunkt war die Situation nicht so gefährlich. Der Trojaner wurde in einer bösartigen Datenhöhle gespeichert und wartete darauf, online verteilt zu werden. Aber das nun ist eine ganz andere Geschichte.

Dieser neue Trojaner wurde in Google Play entdeckt. Wie ein Profikrimineller versteckte er sich meisterlich vor den Sicherheitsexperten und suchte seine Opfer sorgsam aus. Diesen „Auserwählten“ zeigte er Ads – sogar viele von ihnen. Es verwurzelte auch ihre Geräte und installierte einige schädliche Dateien und ungewollte Apps.

Wie funktioniert es?

Um die Malware vor Antivirusscannern zu verbergen, wurden die ausführbaren Dateien mit einem kommerziellen Softwarepacker komprimiert. Dekomprimierte Dateien enthielten nützlichen Pokémon Go-Inhalt (die Tarnung des Trojaners) und ein kleines Modul mit verschleiertem Code.

A Pokémon Go Trojan in Google Play

Nachdem ein User den Guide für Pokémon Go installiert hatte, wartete die Malware stillschweigen für eine Weile. Diese Pause war bewusst: Die Malware musste lernen, ob es sich um ein echtes Gerät oder eine virtuelle Maschine handelte— ein nachgebildeter Sicherheitsexpertengebrauch für Computersysteme, um zu überprüfen, wie sich verdächtige Apps unter verschiedenen Konditionen verhalten.

Nachdem bestätigt wurde, dass es sich um ein echtes Gerät handelte, sendete der Trojaner eine Nachricht an einen Command-and-Control-Server, der von Cyberkriminellen ausgeführt wurde. Der Bericht enthält Informationen über das infizierte Gerät: Modell, Version des Betriebssystems, Land, Standardsprache, usw.

A Pokémon Go Trojan in Google Play

Der Server analysierte die Informationen, entschied, ob das Opfer seinen Bedürfnissen entsprach, und informierte den Trojaner über seine Entscheidung. Mit der Erlaubnis des Servers lud der Guide für Pokémon Go weitere schädliche Dateien herunter (ihr Code war auch verschleiert). Diese Dateien waren die schweren Waffen des Trojaners; sie ließen ihn viele Schwachstellen aus den Jahren 2012 bis 2015 verwenden.

Die bewaffnete Malware verwurzelte das System, installierte stillschweigend zusätzliche Apps und flutete das Handy mit Ads.

Nur Ads? Ist das wirklich gefährlich?

Werbung ist selten angenehm. Daneben ist es eine Sache, Ads von Google zu sehen – das ist eine Art, wie Sie für den „kostenlosen“ Service zahlen. Es ist eine ganz andere Sache, wenn Kriminelle Ihr Handy mit Malware infizieren, um durchgängig Banner anzuzeigen.

Jedoch ist der schlimmste Teil der Infizierung verborgen: Der Guide für Pokémon Go kann unbemerkt jede App auf Ihrem Gerät installieren. Bis jetzt haben Kriminelle eine relativ milde Art gewählt, um Geld zu verdienen: Ads. Morgen können sie sich jedoch vielleicht dazu entscheiden, Ihr Gerät zu blockieren und eine Lösegeldforderung zu stellen – oder Geld von Ihrem Bankaccount zu stehlen.

Obwohl der Trojaner von Google Play entfernt wurde, wurde er von einer halben Millionen Personen heruntergeladen. Wir wissen mit Sicherheit, dass der Trojaner Geräte in Russland, Indien und Indonesien infiziert hat. Aber er zielt auch auf englischsprachige Regionen ab und es gibt wahrscheinlich weltweit noch mehr Opfer.

Wie Sie sich schützen können

Wenn Sie darüber besorgt sind, dass Ihr Gerät mit diesem Trojaner infiziert sein könnte, entfernen Sie die schädliche App und scannen Sie Ihr Gerät mit Kaspersky Antivirus & Security für Android. Es ist kostenlos. Unsere Sicherheitslösungen ermitteln den Trojaner als HEUR:Trojan.AndroidOS.Ztorg.ad.

Um sich in Zukunft zu schützen, folgen Sie diesen Regeln:

1. Denken Sie daran, Anwendungen nur von offiziellen Stores herunterzuladen, nichts ist 100 % sicher. Kriminelle umgehen manchmal den Schutz von Google und anderen Unternehmen – der Guide für Pokémon Go ist ein gutes Beispiel dafür.

2. Installieren Sie unverzüglich Sicherheitspatches auf Ihrem Smartphone (und auch auf Ihrem Computer). Cyberkriminelle machen sich auf Handys und Desktop-Betriebssystemen über Schwachstellen her.

3. Behalten Sie im Hinterkopf, dass Rezensionen und Bewertungen auf Google Play nicht unbedingt zuverlässig sind — Kriminelle können Sie mit spezieller Malware manipulieren. Der Guide für Pokémon Go-Malware hatte auf Google vier Sterne.