Una aplicación de Android que se hace pasar por una guía para los jugadores de Pokémon Go está infestando sus dispositivos, rooteándolos e instalando adware y otras aplicaciones indeseadas de manera secreta. La aplicación, llamada “Guía para Pokémon Go” (Guide for Pokémon Go en inglés), consiguió llegar a la Play Store oficial de Google, desde donde alrededor de 500.000 usuarios la descargaron e instalaron en sus dispositivos. Kaspersky afirma que los datos recopilados por sus productos de seguridad encontraron al menos 6.000 usuarios cuyos dispositivos habían sido rooteados y estaban ahora bajo el control del autor del malware.

Pokémon Go malware

Este troyano ya había llegado a la Play Store anteriormente

Una investigación más exhaustiva demostró que otra versión de esta aplicación había llegado a la Play Store en julio, aunque se eliminó poco después. El mismo troyano que se encuentra dentro de Guía para Pokémon Go también fue encontrado dentro de otras nueve aplicaciones, subidas en diferentes momentos y con diferentes nombres a la Google Play Store oficial.

Según un análisis técnico del troyano, detectado por Kaspersky bajo el nombre genérico de HEUR:Trojan.AndroidOS.Ztorg.ad, este malware para Android es extremadamente avanzado, y tiene varias capas de defensas que hacen que contrarrestarlo sea muy difícil. Los investigadores afirman que la aplicación utiliza una app diseñada para esconder y desperdigar el código, lo que evita que los equipos de seguridad puedan investigarlo.

Además, tras infectar el dispositivo, el malware espera a que el usuario lleve a cabo acciones como instalar o desinstalar otra app antes de ponerse en contacto con sus creadores. De esta manera, el troyano sabe que no está instalado en una máquina virtual o emulador, y puede revelar su comportamiento malicioso sólo si está seguro de que ha infectado un dispositivo utilizado por una persona real.

“Las víctimas de este troyano pueden, al principio, ni siquiera darse cuenta del aumento de anuncios molestos y disruptivos, pero a la larga las implicaciones de esta infección pueden ser más siniestras” afirman en Kaspersky Lab. “Aunque la aplicación ya ha sido eliminada de la tienda, hay casi medio millón de personas ahí fuera vulnerables a la infección, y esperamos que este anuncio les alerte de que necesitan tomar acciones.”