Фальшивое приложение Pokémon Go для Windows было обнаружено исследователем информационной безопасности Майклом Гиллеспи. Как выяснилось, под видом Pokémon Go скрывалась вымогательская программа, которая может, наряду с шифрованием файлов пользователя, осуществлять установку бэкдора на системе.
Вымогательская программа создана на основе кода вредоносного программного обеспечения Hidden Tear, которое в свое время опубликовал на GitHub исследователь Утку Сен. Как сообщает издание Bleeping Computer, фальшивая программа Pokémon GO предназначена для арабоязычных пользователей.
Функционал вредоносной программы, на первый взгляд, почти идентичен остальным разновидностям подобного программного обеспечения. При проникновении в систему поддельное приложение Pokémon GO проводит сканирование дисков на предмет наличия файлов с форматами .asp, .aspx, .csv, .doc, .docx, .gif, .htm, .html, .jpg, .mdb, .mht, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .rtf, .sln, .sql, .txt, .xls, .xlsx и .xml. Когда вредоносная программа находит нужные файлы, она шифрует их и добавляет к ним расширение .locked. Затем на экране появляется сообщение с изображением Пикачу и электронным почтовым адресом киберпреступника.
В ходе более глубокого анализа выяснилось, что вымогательская программа, помимо блокировки доступа к данным, создает скрытый аккаунт администратора Hack3r, который позволяет злоумышленнику захватить контроль над зараженным компьютером. Кроме того, функционал фальшивого приложения Pokémon GO предусматривает создание сетевой папки и самокопирование на все съемные диски.
Эксперты считают, что вредоносная программа пока что находится на стадии разработки. Свидетельством этого, по мнению исследователей, является применение статического AES-ключа 123vivalalgerie. Вероятно, финальная версия будет создавать произвольные ключи и загружать их на C&C-сервер киберпреступника.