Aplicación maliciosa para Pokémon Go abre puerta trasera en Android

Los expertos de Proofpoint han publicado una advertencia para los potenciales entrenadores de Pokémon sobre la existencia de una versión maliciosa del popular juego Pokémon Go. El malware fue descubierto en uno de los repositorios de hackers y es probable que pronto comience a extenderse en el mundo real. Según los investigadores, los atacantes añadieron al archivo APK del juego una herramienta de administración remota llamada Droidjack y su instalación brinda al atacante un acceso completo al dispositivo móvil.

El juego de realidad aumentada Pokémon Go, basado en una franquicia de hace dos décadas, apareció en el mercado estadounidense hace sólo una semana, pero fascinó tanto a la gente que los servidores del juego no dan abasto al flujo de solicitudes. Aún más sorprendente es que cinco días después de publicada la aplicación, Nintendo (propietario del juego) aumentó su valor de capitalización en casi 11 mil millones de dólares.

La compañía Niantic, desarrolladora de Pokémon Go, ha suspendido el lanzamiento a escala mundial debido a que sus servidores están sobrecargados. Por ahora el juego está disponible sólo en las tiendas en línea de Estados Unidos, Australia y Nueva Zelanda, lo que significa que la gente de otros países experimenta la tentación de descargarlo de servidores no oficiales. Pero para que funcione, los usuarios de Android tendrán que modificar su configuración: la descarga de archivos APK de terceros desde fuentes no confiables es una amenaza a la seguridad, y es muy probable en el dispositivo esté activada la protección correspondiente.

El análisis mostró que la aplicación maliciosa de Pokémon Go envía solicitudes a un dominio situado en una dirección IP dinámica de Turquía para comunicarse con su servidor de administración. Estas direcciones las suelen utilizar los bots involucrados en el envío de spam y otras actividades ilegales. En este caso, el servidor de administración se encuentra en el dominio No-IP.org, que estuvo involucrado en operaciones maliciosas.

Los investigadores también señalaron que se puede identificar un juego Pokémon malicioso recibido de terceras fuentes por la lista de permisos que solicite. El archivo APK malicioso está interesado en características tales como ver las conexiones WiFi, conectarse o desconectarse a redes WiFi, modificar el estado de la conexión a la red, y obtener datos de las aplicaciones en ejecución. Es imposible detectar la suplantación por su pantalla inicial, porque es idéntica a la original.

“Aunque el APK todavía no ha aparecido en condiciones reales, confirma una importante prueba de concepto, a saber, que los atacantes pueden sacar provecho de aplicaciones populares como Pokémon Go para obligar a los usuarios a instalar malware en su propio dispositivo”, concluye Proofpoint.

Fuentes: Threatpost