Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Doctor Web wykrył w Google Play zainfekowane gry pobrane ponad 4500000 razy

16 stycznia 2018

Analitycy wirusów Doctor Web wykryli w Google Play „kilka” gier zawierających wirusa Android.RemoteCode.127.origin. Został on zaprojektowany do skrytego pobierania i uruchamiania dodatkowych modułów przeprowadzających różne złośliwe operacje. Na przykład, symulują one działania użytkownika otwierając w skrycie strony www i klikając na ich elementach.

Android.RemoteCode.127.origin jest częścią pakietu SDK (Software Development Kit) nazwanego 呀呀云 (Ya Ya Yun). Twórcy oprogramowania używali go do rozszerzania funkcjonalności swoich aplikacji. W szczególności, pozwala on realizację komunikacji pomiędzy graczami, jednakże oprócz wykazanych możliwości, platforma ta realizuje funkcje trojana – w skrycie pobiera złośliwe moduły ze zdalnego serwera.

Gdy programy z wbudowanym SDK zostaną uruchomione, Android.RemoteCode.127.origin wysyła żądanie do serwera kontrolno-zarządzającego (C&C). W odpowiedzi może odebrać polecenie pobrania i uruchomienia złośliwych modułów zdolnych do wielu działań. Specjaliści Doctor Web przechwycili i przebadali jeden taki moduł i nazwali go Android.RemoteCode.126.origin. Uruchomiony, łączy się on ze swoim serwerem C&C i otrzymuje link do pobrania pozornie niegroźnego obrazka.

screen Android.RemoteCode.126.origin #drweb

W rzeczywistości ten plik graficzny zawiera inny moduł trojana, będący zaktualizowaną wersją Android.RemoteCode.126.origin. Analitycy wirusów zetknęli się już z tą metodą maskowania złośliwych obiektów w obrazkach (steganografią). Na przykład, była ona stosowana przez trojana wykrytego w 2016 roku i nazwanego Android.Xiny.19.origin.

Po odszyfrowaniu i uruchomieniu nowa wersja modułu trojana (wykrywana przez Dr.Web jako Android.RemoteCode.125.origin) rozpoczyna swoje działanie równolegle ze starą, duplikując jej funkcje. Następnie tenże moduł pobiera kolejny obrazek z ukrytym złośliwym komponentem. Został on nazwany jako Android.Click.221.origin.

screen Android.RemoteCode.126.origin #drweb

Jego głównym celem jest skryte otwieranie stron www i klikanie na ich elementach, takich jak linki i bannery. W tym celu Android.Click.221.origin pobiera skrypt z adresu wskazanego przez serwer C&C. Trojan wykonuje ten skrypt z możliwością przeprowadzania różnych działań na stronie www, włączając symulację kliknięć na wskazanych elementach. Tym samym, jeśli zadanie dla trojana zawiera stosowne linki i reklamy, cyberprzestępcy będą czerpać korzyści ze zwiększania statystyk ruchu na stronie www i z klikania tychże bannerów. Jednakże nie jest to jedyna funkcjonalność Android.RemoteCode.127.origin, ponieważ twórcy wirusa są zdolni do stworzenia dodatkowych modułów trojana, które będą przeprowadzać inne złośliwe działania. Na przykład, mogą wyświetlać okienka phishingowe do wykradania poświadczeń logowania, wyświetlania reklam, jak i skrytego pobierania i instalowania aplikacji.

Specjaliści Doctor Web wykryli w Google Play 27 gier, które używały SDK trojana. Zostały one pobrane przez ponad 4500000 posiadaczy urządzeń mobilnych. Aplikacje z wbudowanym Android.RemoteCode.127.origin zostały wymienione w poniższej tabeli:

Nazwa programuNazwa pakietu aplikacjiWersja
Hero Missioncom.dodjoy.yxsm.global1.8
Era of Arcaniacom.games37.eoa2.2.5
Clash of Civilizationscom.tapenjoy.warx0.11.1
Sword and Magiccom.UE.JYMF&hl1.0.0
خاتم التنين - Dragon Ring (For Egypt)com.reedgame.ljeg1.0.0
perang pahlawancom.baiduyn.indonesiamyth1.1400.2.0
樂舞 - 超人氣3D戀愛跳舞手遊com.baplay.love1.0.2
Fleet Glorycom.entertainment.mfgen.android1.5.1
Kıyamet Kombat Arenacom.esportshooting.fps.thekillbox.tr1.1.4
Love Dancecom.fitfun.cubizone.love1.1.2
Never Find Me - 8v8 real-time casual gamecom.gemstone.neverfindme1.0.12
惡靈退散-JK女生の穿越冒險com.ghosttuisan.android0.1.7
King of Warship: National Herocom.herogames.gplay.kowglo1.5.0
King of Warship:Sail and Shootcom.herogames.gplay.kowsea1.5.0
狂暴之翼-2017年度最具人氣及最佳對戰手遊com.icantw.wings0.2.8
武動九天com.indie.wdjt.ft11.0.5
武動九天com.indie.wdjt.ft21.0.7
Royal flushcom.jiahe.jian.hjths2.0.0.2
Sword and Magiccom.linecorp.LGSAMTHZależna od modelu urządzenia
Gumballs & Dungeons:Roguelike RPG Dungeon crawlercom.qc.mgden.android0.41.171020.09-1.8.6
Soul Awakeningcom.sa.xueqing.en1.1.0
Warship Rising - 10 vs 10 Real-Time Esport Battlecom.sixwaves.warshiprising1.0.8
Thủy Chiến - 12 Vs 12com.vtcmobile.thuychien1.2.0
Dance Togethermusic.party.together1.1.0
頂上三国 - 本格RPGバトルcom.yileweb.mgcsgja.android1.0.5
靈魂撕裂com.moloong.wjhj.tw1.1.0
Star Legendscom.dr.xjlh11.0.6

Analitycy wirusów poinformowali Google o wykryciu komponentu trojana w wykazanych aplikacjach, jednakże na chwilę opublikowania tego artykułu były one wciąż dostępne do pobrania. Zaleca się, aby posiadacze smartfonów i tabletów z Androidem usunęli zainstalowane gry zawierające Android.RemoteCode.127.origin. Dr.Web dla Androida z powodzeniem wykrywa programy zawierające Android.RemoteCode.127.origin, dzięki czemu ten trojan nie stanowi żadnego zagrożenia dla naszych użytkowników.

Twój Android wymaga ochrony
Użyj Dr.Web

Pobierz za darmo

  • Pierwszy rosyjski Antywirus dla Androida
  • Ponad 135 milionów pobrań tylko w Google Play
  • Darmowy dla użytkowników produktów Dr.Web dla domu

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A