La aplicación fue objeto de una clonación distribuida en internet como malware
Uno de los juegos más esperados por los gamers, es la aplicación más descargada en los últimos días alrededor del mundo, Pokémon Go, la cual también representa una potencial amenaza para sus usuarios; así lo dieron a conocer los especialistas en ciberseguridad McAfee Labs y Kaspersky Lab.
El juego que coloca al jugador en el papel de un entrenador Pokémon, a diferencia de sus versiones anteriores, es una aplicación de «realidad aumentada» de alcance global que funciona como superposición de Google Maps.
“El uso de juegos en línea populares como vector para la instalación de malware es una práctica común, por lo que es sólo cuestión de tiempo para que los ciberdelincuentes aprovechen su popularidad para infectar a consumidores impacientes y confiados”, comentó Roberto Martínez, experto en seguridad de Kaspersky Lab.
El juego de Nintendo, disponible oficialmente a partir desde el pasado 7 de julio en sistemas operativos iOS y Android para Estados Unidos, Australia, Reino Unido y Nueva Zelanda, fue objeto de una clonación distribuida en internet en forma de un malware capaz de robar información personal de los usuarios.
De acuerdo con los especialistas, los riesgos por la instalación de Pokémon Go aumentaron debido al lanzamiento gradual de la plataforma, porque los usuarios de países sin autorización, incluido México, descargaron versiones de la app a través de canales ilegales.
En algunos casos, el malware provocó el robo de mensajes SMS, registros de llamadas, listas de contactos, historial de navegación, geo-localización; además de alentar que las aplicaciones instaladas en los dispositivos ejecutaran comandos de forma remota para tomar fotos, grabar video y llamadas, o enviar mensajes de texto.
“La mejor manera de proteger los dispositivos y la información es instalando sólo aplicaciones descargadas a través de tiendas oficiales y complementar esto con una solución de seguridad robusta”, agregó Martínez.
En este sentido, McAfee Labs habilitó un aviso de seguridad en su blog con la intención de compartir una explicación más detallada sobre el malware.
La versión del juego se ha encontrado en las tiendas de aplicaciones de terceros y para su descarga en varios sitios web de procedencia desconocida que prometen darle moneda adicional del juego o desbloquear personajes ocultos.
«A menudo, estos sitios web o aplicaciones plagadas de malware recogen información del usuario con fines maliciosos. Para proteger los dispositivos, McAfee Labs recomienda instalar un software de seguridad que evite el robo de información y prevenga de futuras amenazas».
Kaspersky Lab también emitió una alerta sobre la alteración de la aplicación con una herramienta de acceso remoto (RAT, por sus siglas en inglés) llamada Droidjack, que podría permitir controlar el teléfono móvil de los usuarios por parte de los ciberdelincuentes.
En las versiones ilegales del juego, los usuarios de Android requieren ajustar la configuración de su dispositivo de manera que les permita instalar archivos con extensión APK, provenientes de fuentes no confiables, una práctica considerada de alto riesgo por los expertos.
Aunque a la fecha aún no se ha detectado en circulación el archivo que contiene el RAT, éste ya fue descubierto en un repositorio de archivos maliciosos, por lo que podría propagarse en línea en cualquier momento.
El APK solicita visibilidad sobre las conexiones de Wi-Fi con la finalidad de conectarse o desconectarse de la red, cambiar la conectividad y recabar datos de aplicaciones que estén en uso. Además, la versión alterada de la aplicación comunica con un dominio de comando y control albergado en una dirección IP dinámica en Turquía.
El espacio de estas IP comúnmente es utilizado para alojar redes de bots, envío de spam, así como otras actividades sospechosas. En este caso, el dominio se encuentra alojado en No-IP.org, un sitio que los cibercriminales han utilizado en el pasado para ocultar operaciones de malware.
Para evitar que más dispositivos sean comprometidos por el malware, Kaspersky Lab recomienda esperar a que la aplicación esté disponible oficialmente alrededor del mundo, no desactivar la solución antimalware de los dispositivos y no descargar la aplicación desde una fuente no verificada.
Para detectar HEUR:Trojan-Spy.AndroidOS.Sandr.a. el malware oculto en la aplicación, los especialistas exhortaron a los usuarios utilizar productos de seguridad diseñados por Kaspersky Lab.
C$C-EVP