16 stycznia 2018

Analitycy wirusów Doctor Web wykryli w Google Play „kilka” gier zawierających wirusa Android.RemoteCode.127.origin. Został on zaprojektowany do skrytego pobierania i uruchamiania dodatkowych modułów przeprowadzających różne złośliwe operacje. Na przykład, symulują one działania użytkownika otwierając w skrycie strony www i klikając na ich elementach.

Android.RemoteCode.127.origin jest częścią pakietu SDK (Software Development Kit) nazwanego 呀呀云 (Ya Ya Yun). Twórcy oprogramowania używali go do rozszerzania funkcjonalności swoich aplikacji. W szczególności, pozwala on realizację komunikacji pomiędzy graczami, jednakże oprócz wykazanych możliwości, platforma ta realizuje funkcje trojana – w skrycie pobiera złośliwe moduły ze zdalnego serwera.

Gdy programy z wbudowanym SDK zostaną uruchomione, Android.RemoteCode.127.origin wysyła żądanie do serwera kontrolno-zarządzającego (C&C). W odpowiedzi może odebrać polecenie pobrania i uruchomienia złośliwych modułów zdolnych do wielu działań. Specjaliści Doctor Web przechwycili i przebadali jeden taki moduł i nazwali go Android.RemoteCode.126.origin. Uruchomiony, łączy się on ze swoim serwerem C&C i otrzymuje link do pobrania pozornie niegroźnego obrazka.

W rzeczywistości ten plik graficzny zawiera inny moduł trojana, będący zaktualizowaną wersją Android.RemoteCode.126.origin. Analitycy wirusów zetknęli się już z tą metodą maskowania złośliwych obiektów w obrazkach (steganografią). Na przykład, była ona stosowana przez trojana wykrytego w 2016 roku i nazwanego Android.Xiny.19.origin.

Po odszyfrowaniu i uruchomieniu nowa wersja modułu trojana (wykrywana przez Dr.Web jako Android.RemoteCode.125.origin) rozpoczyna swoje działanie równolegle ze starą, duplikując jej funkcje. Następnie tenże moduł pobiera kolejny obrazek z ukrytym złośliwym komponentem. Został on nazwany jako Android.Click.221.origin.

Jego głównym celem jest skryte otwieranie stron www i klikanie na ich elementach, takich jak linki i bannery. W tym celu Android.Click.221.origin pobiera skrypt z adresu wskazanego przez serwer C&C. Trojan wykonuje ten skrypt z możliwością przeprowadzania różnych działań na stronie www, włączając symulację kliknięć na wskazanych elementach. Tym samym, jeśli zadanie dla trojana zawiera stosowne linki i reklamy, cyberprzestępcy będą czerpać korzyści ze zwiększania statystyk ruchu na stronie www i z klikania tychże bannerów. Jednakże nie jest to jedyna funkcjonalność Android.RemoteCode.127.origin, ponieważ twórcy wirusa są zdolni do stworzenia dodatkowych modułów trojana, które będą przeprowadzać inne złośliwe działania. Na przykład, mogą wyświetlać okienka phishingowe do wykradania poświadczeń logowania, wyświetlania reklam, jak i skrytego pobierania i instalowania aplikacji.

Specjaliści Doctor Web wykryli w Google Play 27 gier, które używały SDK trojana. Zostały one pobrane przez ponad 4500000 posiadaczy urządzeń mobilnych. Aplikacje z wbudowanym Android.RemoteCode.127.origin zostały wymienione w poniższej tabeli:

Analitycy wirusów poinformowali Google o wykryciu komponentu trojana w wykazanych aplikacjach, jednakże na chwilę opublikowania tego artykułu były one wciąż dostępne do pobrania. Zaleca się, aby posiadacze smartfonów i tabletów z Androidem usunęli zainstalowane gry zawierające Android.RemoteCode.127.origin. Dr.Web dla Androida z powodzeniem wykrywa programy zawierające Android.RemoteCode.127.origin, dzięki czemu ten trojan nie stanowi żadnego zagrożenia dla naszych użytkowników.