Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web wykrył złośliwe aplikacje w Google Play, a każda miała ponad 2 miliony pobrań

13 listopada 2017

Specjaliści Doctor Web wykryli kilka aplikacji w Google Play zawierających trojana Android.RemoteCode.106.origin. Ten złośliwy program w skrycie otwiera strony www, śledzi linki reklamowe i banery znajdujące się na nich i zwiększa statystyki ruchu. Dodatkowo może być on użyty do przeprowadzania ataków phishingowych i wykradania poufnych informacji.

Specjaliści Doctor Web wykryli Android.RemoteCode.106.origin w dziewięciu programach, które zostały pobrane przez co najmniej 2 370 000 użytkowników, aż do ponad 11 700 000 użytkowników. Trojan został wykryty w następujących aplikacjach:

  • Sweet Bakery Match 3 – Swap and Connect 3 Cakes 3.0;
  • Bible Trivia, wersja 1.8;
  • Bible Trivia – FREE, wersja 2.4;
  • Fast Cleaner light, wersja 1.0;
  • Make Money 1.9;
  • Band Game: Piano, Guitar, Drum, wersja 1.47;
  • Cartoon Racoon Match 3 - Robbery Gem Puzzle 2017, wersja 1.0.2;
  • Easy Backup & Restore, wersja 4.9.15;
  • Learn to Sing, wersja 1.2.

Nasi analitycy poinformowali Google o obecności Android.RemoteCode.106.origin w wykrytych aplikacjach. Na chwilę opublikowania tego artykułu niektóre z nich zostały już zaktualizowane i trojan nie był już w nich wykrywany. Niemniej jednak pozostałe programy wciąż zawierały złośliwy komponent i stanowiły zagrożenie.

screenshot Android.RemoteCode.106.origin #drweb screenshot Android.RemoteCode.106.origin #drweb
screenshot Android.RemoteCode.106.origin #drweb screenshot Android.RemoteCode.106.origin #drweb
screenshot Android.RemoteCode.106.origin #drweb

Przed rozpoczęciem swojej złośliwej aktywności Android.RemoteCode.106.origin przeprowadza kilka testów. Jeśli zainfekowane urządzenie mobilne nie posiada określonej liczby zdjęć, kontaktów i połączeń telefonicznych w spisie połączeń, to trojan nie rozpocznie swoich złośliwych działań. Jeśli określone warunki są spełnione, to trojan wysyła żądanie do serwera kontrolno-zarządzającego (C&C) i próbuje śledzić link otrzymany w wiadomości przychodzącej. Jeśli mu się to powiedzie, Android.RemoteCode.106.origin wykorzystuje swoją główną funkcjonalność.

Trojan pobiera ze swojego serwera C&C listę modułów niezbędnych do działania. Jeden z nich został dodany do bazy wirusów Dr.Web jako Android.Click.200.origin. Służy on do automatycznego otwierania strony www w przeglądarce, a adres strony jest otrzymywany poprzez centrum sterowania wirusa. Ta funkcja może być używana do podbijania statystyk ruchu dla zasobów internetowych; może być również użyta do przeprowadzania ataków phishingowych, jeśli trojan otrzymał za zadanie otwarcie fałszywej strony www.

Drugi moduł trojana, nazwany Android.Click.199.origin, zapewnia działanie trzeciego komponentu, dodanego do bazy wirusów jako Android.Click.201.origin. Głównym zadaniem Android.Click.199.origin jest pobranie, uruchomienie i aktualizacja Android.Click.201.origin.

Z kolei Android.Click.201.origin, po swoim uruchomieniu łączy się z serwerem C&C, od którego otrzymuje swoje zadania. Te zadania zawierają adresy strony www dla trojana, aby ten otworzył ją w trybie “niewidzialnym” w aplikacji WebView. Po odwołaniu się do jednego z adresów docelowych, Android.Click.201.origin samodzielnie “klika” w banery reklamowe wykazane w poleceniu, lub w niezależnym elemencie otwartej strony www. Przeprowadza on te działania tak długo, aż osiągnie przypisaną liczbę kliknięć.

Tym samym, głównym celem Android.RemoteCode.106.origin jest pobranie i uruchomienie dodatkowych złośliwych modułów używanych do podbijania statystyk ruchu dla stron www, jak i do śledzenia linków reklamowych. Te działania przynoszą dochód cyberprzestępcom. Dodatkowo, złośliwy program może być użyty do przeprowadzania ataków phishingowych i wykradania poufnych informacji.

Dr.Web dla Androida z powodzeniem wykrywa wszystkie aplikacje zawierające zarówno wirusa Android.RemoteCode.106.origin, jak i jego moduły pomocnicze, tak więc te złośliwe programy nie stanowią zagrożenia dla naszych użytkowników. Gdy oprogramowanie zawierające Android.RemoteCode.106.origin zostanie wykryte, posiadacze smartfonów i tabletów z Androidem powinni albo je usunąć, albo sprawdzić, czy są dostępne ich zaktualizowane wersje, które nie zawierają funkcjonalności trojana.

Więcej na temat tego trojana

Twój Android wymaga ochrony
Użyj Dr.Web

Pobierz za darmo

  • Pierwszy rosyjski Antywirus dla Androida
  • Ponad 100 milionów pobrań tylko w Google Play
  • Darmowy dla użytkowników produktów Dr.Web dla domu
#Android, #Google_Play

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A