5 lipca 2017

Specjaliści Doctor Web wykryli w Google Play grę, która zawiera trojana typu downloader. Ta złośliwa aplikacja może w skrycie pobierać, instalować i uruchamiać inne oprogramowanie. Na chwilę obecną trojan został pobrany przez ponad milion posiadaczy urządzeń mobilnych.

Ta złośliwa aplikacja, nazwana Android.DownLoader.558.origin, została osadzona w popularnej grze BlazBlue, która została już pobrana przez ponad milion użytkowników. Ten trojan jest częścią specjalnego pakietu oprogramowania (SDK, Software Development Kit) nazwanego Excelliance, zaprojekowanego do skomputeryzowania i uproszczenia aktualizacji programów w Androidzie.

W przeciwieństwie do standardowej procedury aktualizacji, gdy stara wersja aplikacji jest całkowicie zamieniana na nową, SDK wskazane powyżej zezwala na oddzielne pobranie wymaganych komponentów bez ponownego instalowania całego pakietu oprogramowania. Pozwala to twórcom programów na utrzymanie bieżącej wersji oprogramowania zainstalowanego na urządzeniu mobilnym nawet w sytuacji, gdy użytkownicy nie śledzą pojawiania się nowych wersji. Jednakże Excelliance działa jako program ładujący dla trojana, ponieważ może on ładować i uruchamiać niesprawdzone komponenty aplikacji. Ta metoda aktualizacji narusza reguły Google Play ponieważ jest niebezpieczna.

Android.DownLoader.558.origin rozpoczyna swoją pracę po wstępnym uruchomieniu programu lub gry w której został osadzony. Trojan, równolegle z innymi elementami aplikacji, jest wypakowywany z katalogu z jej zasobami i jest odszyfrowywany. Następnie ładuje się on za każdym razem, gdy urządzenie mobilne łączy się z Internetem, nawet jeśli użytkownik nigdy więcej nie uruchomi już zainfekowanej aplikacji.

Moduł trojana śledzi aktywność sieciową i próbuje połączyć się ze swoim serwerem kontrolno-zarządzającym. W zależności od ustawień serwera, Android.DownLoader.558.origin może otrzymać polecenie pobrania innego komponentu programu. Na przykład, w przypadku gry BlazBlue, moduł ten oferuje pobranie brakujących plików i aktualizacji, jeśli takowe są dostępne.

Oprócz dodatkowych zasobów i aktualizacji aplikacji, Android.DownLoader.558.origin może pobierać oddzielne pliki APK, DEX i ELF. Co więcej, w niektórych przypadkach te pliki mogą być uruchamiane bez wiedzy użytkownika. Na przykład, kod pobranych plików DEX jest wykonywany automatycznie i nie wymaga żadnych działań ze strony posiadacza urządzenia mobilnego.

Do chwili obecnej podczas instalacji pobranych plików APK, użytkownik widzi standardowe okienko dialogowe, jednakże jeśli Android.DownLoader.558.origin posiada dostęp do systemu na poziomie root’a, to może instalować je niepostrzeżenie. Ta cecha jest głównym niebezpieczeństwem czyhającym ze strony SDK Excelliance. W każdym momencie jej autorzy mogą wydać polecenie załadowania obiektu nie mającego nic wspólnego z główną aplikacją, na przykład modułu reklamowego, programów firm trzecich, a nawet innych trojanów, które mogą być pobrane spoza Google Play i uruchomione bez monitu o udzielenie uprawnień.

Specjaliści Doctor Web poinformowali Google o niebezpiecznym zachowaniu się komponentu trojana w SDK użytym w grze BlazBlue, jednakże na chwilę opublikowania tego artykułu, wersja gry zawierająca Android.DownLoader.558.origin była wciąż dostępna do pobrania z Google Play.

Aplikacje zawierające tego trojana są z powodzeniem wykrywane przez produkty antywirusowe Dr.Web dla Androida jako Android.RemoteCode.81.origin; tym samym to oprogramowanie nie stanowi żadnego zagrożenia dla naszych użytkowników.

Więcej na temat tego trojana