1. Ваш Android потребує захисту використовуйте Dr.Web

16 січня 2018 року

Вірусні аналітики компанії «Доктор Веб» виявили в каталозі Google Play кілька ігор для ОС Android з вбудованим в них троянцем Android.RemoteCode.127.origin . Він непомітно викачує і запускає додаткові модулі, які виконують різні шкідливі функції. Наприклад, симулюють дії користувачів, приховано відкриваючи веб-сайти і натискаючи на розташовані на них елементи.

Android.RemoteCode.127.origin входить до складу програмної платформи (SDK, Software Development Kit) під назвою 呀呀 云 ( «Я Я Юнь»), яку розробники використовують для розширення функціоналу своїх додатків. Зокрема, вона дозволяє гравцям підтримувати один з одним зв'язок. Однак крім заявлених можливостей зазначена платформа виконує троянські функції, таємно завантажуючи з віддаленого сервера шкідливі модулі.

Насправді ж в цьому графічному файлі захований ще один троянський модуль, який представляє оновлену версію Android.RemoteCode.126.origin .Такий метод маскування шкідливих об'єктів в зображеннях (стеганографія) вже не раз зустрічався вірусним аналітикам. Наприклад, він застосовувався у виявленому в 2016 році троянця Android.Xiny.19.origin .

Після розшифровки і запуску нова версія троянського модуля (детектується Dr.Web як Android.RemoteCode.125.origin ) Починає працювати одночасно зі старою, дублюючи її функції. Потім цей модуль викачує ще одне зображення, в якому також прихований шкідливий компонент. Він отримав ім'я Android.Click.221.origin .

Його основне завдання - непомітне відкриття веб-сайтів і натискання на розташовані на них елементи - наприклад, посилання і банери. Для цього Android.Click.221.origin завантажує з зазначеного керуючим сервером адреси скрипт, якому надає можливість здійснювати різні дії на сторінці, в тому числі симулювати кліки за вказаними скриптом елементам. Таким чином, якщо в завданні троянця був перехід по посиланнях або рекламних оголошень, зловмисники отримують прибуток за накрутку лічильника відвідувань веб-сторінок і натискання на банери. Однак цим функціонал Android.RemoteCode.127.origin не обмежується, т. к. вирусописатели здатні створити інші троянські модулі, які будуть виконувати інші шкідливі дії. Наприклад, показувати фішингові вікна для крадіжки логінів та паролів, демонструвати рекламу, а також таємно завантажувати і встановлювати додатки.

Фахівці компанії «Доктор Веб» виявили в каталозі Google Play 27 ігор, в яких використовувався троянський SDK. В цілому їх завантажили більше 4 500 000 власників мобільних пристроїв. Список додатків з впровадженим Android.RemoteCode.127.origin представлений в таблиці нижче:

Назва програми Назва програмного пакета Версія Hero Mission com.dodjoy.yxsm.global 1.8 Era of Arcania com.games37.eoa 2.2.5 Clash of Civilizations com.tapenjoy.warx 0.11.1 Sword and Magic com.UE.JYMF & hl 1.0.0 خاتم التنين - Dragon Ring (For Egypt) com.reedgame.ljeg 1.0.0 perang pahlawan com.baiduyn.indonesiamyth 1.1400.2.0 樂舞 - 超 人氣 3D 戀愛 跳舞 手 遊 com.baplay.love 1.0.2 Fleet Glory com.entertainment.mfgen .android 1.5.1 Kıyamet Kombat Arena com.esportshooting.fps.thekillbox.tr 1.1.4 Love Dance com.fitfun.cubizone.love 1.1.2 Never Find Me - 8v8 real-time casual game com.gemstone.neverfindme 1.0.12惡靈 退散 -JK 女生 の 穿越 冒險 com.ghosttuisan.android 0.1.7 King of Warship: National Hero com.herogames.gplay.kowglo 1.5.0 King of Warship: Sail and Shoot com.herogames.gplay.kowsea 1.5.0狂暴 之 翼 - 2017 年度 最具 人氣 及 最佳 對戰 手 遊 com.icantw.wings 0.2.8 武 動 九天 com.indie.wdjt.ft1 1.0.5 武 九天 com.indie.wdjt.ft2 1.0.7 Royal flush com.jiahe.jian.hjths 2.0.0.2 Sword and Magic com.linecorp.LGSAMTH Залежить від моделі пристрою Gumballs & Dungeons: Roguelike RPG Dungeon crawler com.qc.mgden.android 0.41.171020.09-1.8.6 Soul Awakening com.sa.xueqing.en 1.1.0 Warship Rising - 10 vs 10 Real-Time Esport Battle com.sixwaves.warshiprising 1.0.8 Thủy Chiến - 12 Vs 12 com.vtcmobile.thuychien 1.2 .0 Dance Together music.party.together 1.1.0 頂上 三国 - 本 格 RPG バ ト ル com.yileweb.mgcsgja.android 1.0.5 靈魂 撕裂 com.moloong.wjhj.tw 1.1.0 Star Legends com.dr.xjlh1 1.0. 6

Вірусні аналітики поінформували корпорацію Google про наявність троянського компонента в зазначених додатках, однак на момент виходу цієї публікації вони все ще були доступні для завантаження. Власникам Android-смартфонів і планшетів, які встановили гри з троянцем Android.RemoteCode.127.origin , Рекомендується видалити їх. Антивірусні продукти Dr.Web для Android успішно детектируют програми, в яких міститься Android.RemoteCode.127.origin , Тому для наших користувачів цей троянець небезпеки не представляє.

Детальніше про троянця

Ваш Android потребує захисту
використовуйте Dr.Web

Завантажити безкоштовно

• Перший російський антивірус для Android

• Понад 135 мільйонів скачувань тільки з Google Play

• Безкоштовний для користувачів домашніх продуктів Dr.Web

, #Android , # мобільний , # троянець , # магазіни_пріложеній