+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Вірусні аналітики компанії «Доктор Веб» виявили в каталозі Google Play заражені ігри, завантажені понад 4,5 млн разів

Вірусні аналітики компанії «Доктор Веб» виявили у каталозі Google Play кілька ігор для ОС Android із вбудованим у них троянцем Android.RemoteCode.127.origin. Він непомітно скачує та запускає додаткові модулі, які виконують різні шкідливі функції. Наприклад, симулюють дії користувачів, приховано відкриваючи веб-сайти та натискаючи на розміщені на них елементи.

Android.RemoteCode.127.origin входить до складу програмної платформи (SDK, Software Development Kit) під назвою 呀呀云 («Я Я Юнь»), яку розробники використовують для розширення функціоналу своїх додатків. Зокрема, вона дозволяє гравцям підтримувати зв'язок один з одним. Однак, крім заявлених можливостей, зазначена платформа виконує троянські функції, потай завантажуючи з віддаленого сервера шкідливі модулі.

Під час запуску програм, в які вбудовано цей SDK, Android.RemoteCode.127.origin робить запит до керуючого сервера. У відповідь він може отримати команду на завантаження і запуск шкідливих модулів, здатних виконувати різні дії. Один із таких модулів, який перехопили та дослідили фахівці «Доктор Веб», отримав ім'я Android.RemoteCode.126.origin. Після старту він з'єднується з керуючим сервером і отримує від нього посилання для завантаження необразливого на перший погляд зображення.

Насправді ж у цьому графічному файлі захований ще один троянський модуль, що представляє оновлену версію Android.RemoteCode.126.origin.Такий метод маскування шкідливих об'єктів у зображеннях (стеганографія) вже неодноразово зустрічався вірусним аналітикам. Наприклад, він застосовувався у виявленому у 2016 році троянці Android.Xiny.19.origin.

Після розшифровки та запуску нова версія троянського модуля (Детектується Dr.Web як Android.RemoteCode.125.origin) починає працювати одночасно зі старою, дублюючи її функції. Потім цей модуль завантажує ще одне зображення, в якому також прихований шкідливий компонент. Він отримав ім'я Android.Click.221.origin.

Його основне завдання – непомітне відкриття веб-сайтів та натискання на розміщені на них елементи – наприклад, посилання та банери. Для цього Android.Click.221.origin завантажує із зазначеної керуючим сервером адреси скрипт, якому надає можливість здійснювати різні дії на сторінці, у тому числі симулювати кліки за вказаними скриптами елементами. Таким чином, якщо у завдання троянця був перехід за посиланнями або рекламними оголошеннями, зловмисники отримують прибуток за накрутку лічильника відвідувань веб-сторінок та натискання на банери. Однак, цим функціонал Android.RemoteCode.127.origin не обмежується, т. до. вірусописачі здатні створити інші троянські модулі, які виконуватимуть інші шкідливі дії. Наприклад, показувати фішингові вікна для крадіжки логінів та паролів, демонструвати рекламу, а також потай завантажувати та встановлювати програми.

Фахівці компанії «Доктор Веб» виявили у каталозі Google Play 27 ігор, у яких використовувався троянський SDK. Загалом їх завантажили понад 4 500 000 власників мобільних пристроїв.

Список програм із впровадженим Android.RemoteCode.127.origin включає Hero Mission 1.8, Era of Arcania 2.2.5, Clash of Civilizations 0.11.1, Sword and Magic 1.0.0, Fleet Glory 1.5.1, Love Dance 1.1. 2, King of Warship: National Hero, Sword and Magic, Warship Rising, Star Legends та інші додатки.

Вірусні аналітики проінформували корпорацію Google про наявність троянського компонента у зазначених додатках, однак на момент виходу цієї публікації вони все ще були доступні для завантаження. Власникам Android-смартфонів та планшетів, які встановили ігри з троянцем Android.RemoteCode.127.origin, рекомендується видалити їх. Антивірусні продукти Dr.Web для Android успішно детектують програми, які містять Android.RemoteCode.127.origin, тому для їх користувачів цей троянець небезпеки не становить.

Інші новини

Найкраща ціна