«Доктор Веб» обнаружил в Google Play зараженные игры, скачанные более 4 500 000 раз
16 января 2018 года
Android.RemoteCode.127.origin входит в состав программной платформы (SDK, Software Development Kit) под названием 呀呀云 («Я Я Юнь»), которую разработчики используют для расширения функционала своих приложений. В частности, она позволяет игрокам поддерживать друг с другом связь. Однако помимо заявленных возможностей указанная платформа выполняет троянские функции, скрытно загружая с удаленного сервера вредоносные модули.
При запуске программ, в которые встроен этот SDK, Android.RemoteCode.127.origin делает запрос к управляющему серверу. В ответ он может получить команду на загрузку и запуск вредоносных модулей, способных выполнять самые разные действия. Один из таких модулей, который перехватили и исследовали специалисты «Доктор Веб», получил имя Android.RemoteCode.126.origin. После старта он соединяется с управляющим сервером и получает от него ссылку для загрузки безобидного на первый взгляд изображения.
В действительности же в этом графическом файле спрятан еще один троянский модуль, представляющий обновленную версию Android.RemoteCode.126.origin.Такой метод маскировки вредоносных объектов в изображениях (стеганография) уже не раз встречался вирусным аналитикам. Например, он применялся в обнаруженном в 2016 году троянце Android.Xiny.19.origin.
После расшифровки и запуска новая версия троянского модуля (детектируется Dr.Web как Android.RemoteCode.125.origin) начинает работать одновременно со старой, дублируя ее функции. Затем этот модуль скачивает еще одно изображение, в котором также скрыт вредоносный компонент. Он получил имя Android.Click.221.origin.
Его основная задача – незаметное открытие веб-сайтов и нажатие на расположенные на них элементы – например, ссылки и баннеры. Для этого Android.Click.221.origin загружает с указанного управляющим сервером адреса скрипт, которому предоставляет возможность совершать различные действия на странице, в том числе симулировать клики по указанным скриптом элементам. Таким образом, если в задании троянца был переход по ссылкам или рекламным объявлениям, злоумышленники получают прибыль за накрутку счетчика посещений веб-страниц и нажатия на баннеры. Однако этим функционал Android.RemoteCode.127.origin не ограничивается, т. к. вирусописатели способны создать другие троянские модули, которые будут выполнять иные вредоносные действия. Например, показывать фишинговые окна для кражи логинов и паролей, демонстрировать рекламу, а также скрытно загружать и устанавливать приложения.
Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play 27 игр, в которых использовался троянский SDK. В общей сложности их загрузили более 4 500 000 владельцев мобильных устройств. Список приложений с внедренным Android.RemoteCode.127.origin представлен в таблице ниже:
| Название программы | Название программного пакета | Версия |
|---|---|---|
| Hero Mission | com.dodjoy.yxsm.global | 1.8 |
| Era of Arcania | com.games37.eoa | 2.2.5 |
| Clash of Civilizations | com.tapenjoy.warx | 0.11.1 |
| Sword and Magic | com.UE.JYMF&hl | 1.0.0 |
| خاتم التنين - Dragon Ring (For Egypt) | com.reedgame.ljeg | 1.0.0 |
| perang pahlawan | com.baiduyn.indonesiamyth | 1.1400.2.0 |
| 樂舞 - 超人氣3D戀愛跳舞手遊 | com.baplay.love | 1.0.2 |
| Fleet Glory | com.entertainment.mfgen.android | 1.5.1 |
| Kıyamet Kombat Arena | com.esportshooting.fps.thekillbox.tr | 1.1.4 |
| Love Dance | com.fitfun.cubizone.love | 1.1.2 |
| Never Find Me - 8v8 real-time casual game | com.gemstone.neverfindme | 1.0.12 |
| 惡靈退散-JK女生の穿越冒險 | com.ghosttuisan.android | 0.1.7 |
| King of Warship: National Hero | com.herogames.gplay.kowglo | 1.5.0 |
| King of Warship:Sail and Shoot | com.herogames.gplay.kowsea | 1.5.0 |
| 狂暴之翼-2017年度最具人氣及最佳對戰手遊 | com.icantw.wings | 0.2.8 |
| 武動九天 | com.indie.wdjt.ft1 | 1.0.5 |
| 武動九天 | com.indie.wdjt.ft2 | 1.0.7 |
| Royal flush | com.jiahe.jian.hjths | 2.0.0.2 |
| Sword and Magic | com.linecorp.LGSAMTH | Зависит от модели устройства |
| Gumballs & Dungeons:Roguelike RPG Dungeon crawler | com.qc.mgden.android | 0.41.171020.09-1.8.6 |
| Soul Awakening | com.sa.xueqing.en | 1.1.0 |
| Warship Rising - 10 vs 10 Real-Time Esport Battle | com.sixwaves.warshiprising | 1.0.8 |
| Thủy Chiến - 12 Vs 12 | com.vtcmobile.thuychien | 1.2.0 |
| Dance Together | music.party.together | 1.1.0 |
| 頂上三国 - 本格RPGバトル | com.yileweb.mgcsgja.android | 1.0.5 |
| 靈魂撕裂 | com.moloong.wjhj.tw | 1.1.0 |
| Star Legends | com.dr.xjlh1 | 1.0.6 |
Вирусные аналитики проинформировали корпорацию Google о наличии троянского компонента в указанных приложениях, однако на момент выхода этой публикации они все еще были доступны для загрузки. Владельцам Android-смартфонов и планшетов, которые установили игры с троянцем Android.RemoteCode.127.origin, рекомендуется удалить их. Антивирусные продукты Dr.Web для Android успешно детектируют программы, в которых содержится Android.RemoteCode.127.origin, поэтому для наших пользователей этот троянец опасности не представляет.
Ваш Android нуждается в защите
Используйте Dr.Web
- Первый российский антивирус для Android
- Более 135 миллионов скачиваний только с Google Play
- Бесплатный для пользователей домашних продуктов Dr.Web
Оцените
Сделайте репост
![[VK]](http://st.dataprotection.com.ua/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.dataprotection.com.ua/static/new-www/social/no_radius/twitter.png)
Поставьте «Нравится»
![[facebook]](http://st.dataprotection.com.ua/static/new-www/social/no_radius/facebook.png)
Чтобы проголосовать надо войти на страницу новости через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети для наград за активности в них. Видео о связывании аккаунта
Нам важно Ваше мнение
Комментарии размещаются после проверки модератором. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @
Другие комментарии