В последние несколько месяцев игра Pokémon GO приобрела огромную популярность во всем мире, этим решили воспользоваться вирусописатели.
Исследователь в области информационной безопасности Майкл Гиллеспи (Michael Gillespie) обнаружил фальшивое приложение Pokémon GO для Windows, под видом которого скрывается вымогательское ПО, способное не только шифровать файлы жертвы, но и устанавливать бэкдор на целевой системе.
Вымогатель разработан на базе кода вредоносного ПО Hidden Tear, опубликованного на ресурсе GitHub исследователем Ютку Сеном (Utku Sen) в образовательных целях. На первый взгляд, функционал вредоноса практически не отличается от остальных видов подобного ПО. Оказавшись в системе, программа сканирует диски на наличие файлов с расширениями .txt, .rtf, .doc, .pdf, .mht, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .htm, .gif, .png. При обнаружении вредонос шифрует контент, добавляет расширение .locked и отображает на экране уведомление с изображением Пикачу и адресом электронной почты злоумышленника.
Как показал более глубокий анализ, шифровальщик не только блокирует доступ к файлам, но и создает скрытую учетную запись администратора с именем Hack3r, позволяющую автору вредоноса получить доступ к компьютеру жертвы. Помимо этого, в числе функций Pokémon GO предусмотрена возможность создания сетевой папки (в настоящее время функция не используется) и самокопирования на все съемные диски.
По некотором признакам вредоносное ПО пока находится на стадии разработки. В частности, об этом говорит использование статического AES-ключа 123vivalalgerie. Предположительно, конечный продукт будет генерировать произвольный ключ и загружать его на C&C-сервер злоумышленника. Отметим, что ранее разработчики приложения Pokemon GO без ведома игроков получали полный доступ к почте, фотографиям и прочим данным тех, кто авторизовался в игре с помощью аккаунта Google.
Axarhöfði 14,
110 Reykjavik, Iceland