Otkriveno 27 inficiranih igara u Google Play prodavnici koje je preuzelo 4,5 miliona korisnika

Mobilni telefoni, 25.01.2018, 11:00 AM

Analitičari kompanije Doctor Web otkrili su nekoliko desetina igara u Googleovoj Play prodavnici koje sadrže malver Android.RemoteCode.127.origin koji krišom preuzima i pokreće dodatne module koji su zaduženi za različite zlonamerne aktivnosti na inficiranim uređajima.

Android.RemoteCode.127.origin je deo SDK (Software Development Kit) nazvanog Ya Ya Yun kojeg programeri koriste za proširenje funkcionalnosti aplikacija, konkretno, da omoguće gejmerima međusobnu komunikaciju.

Međutim, pored ovoga, platforma funkcioniše i kao trojanac koji krišom preuzima maliciozne module sa servera.

Kada se aplikacije sa ovim SDK pokrenu, Android.RemoteCode.127.origin šalje upit serveru za komandu i kontrolu (C&C) a kao odgovor dobija komandu za preuzimanje i pokretanje malicioznih modula.

Stručnjaci Doctor Weba presreli su i pregledali jedan takav mogul koji su nazvali Android.RemoteCode.126.origin. Kada se pokrene, on se povezuje sa C&C serverom i dobija link za preuzimanje naizgled beningne slike.

Ova slika zapravo skriva drugi trojanski modul, koji je ažurirana verzija Android.RemoteCode.126.origin. Analitičari malvera su se već susretali sa ovakvom metodom maskiranja malvera u slikama, koja se naziva steganografija. Iz Doctor Weba navode primer trojanca Android.Xiny.19.origin koji je otkriven 2016. godine.

Kada se dešifruje i pokrene, nova verzija trojanskog modula koju Doctor Web detektuje kao Android.RemoteCode.125.origin, počinje da radi istovremeno sa starijom, duplirajući funkcije. Ovaj modul preuzima još jednu sliku sa skrivenom malicioznom komponentnom, nazvanom Android.Click.221.origin.

Glavna svrha ovog modula je da krišom otvara web sajtove i klikće na linkove i banere na njima. Da bi to radio, Android.Click.221.origin preuzima skriptu sa adrese koju mu daje C&C server. Trojanac može da obavlja različite zadatke na web stranici, uključujući i to da simulira klikove na naznačene delove stranice. Ako je zadatak trojanca da klikće na linkove i reklame, sajber kriminalci zarađuju od "naduvavanja" statistike saobraćaja i klikova na banere. Međutim, to nije jedina funkcija Android.RemoteCode.127.origin, jer autori malvera mogu da naprave dodatne trojanske module koji će obavljati druge zadatke. Na primer, oni mogu da prikazuju fišing prozore i kradu lozinke korisnika, da prikazuju reklame i da krišom preuzimaju i instaliraju aplikacije.

Analitičari Doctor Weba su pronašli 27 igara u Google Play prodavnici koji koriste ovaj trojanski SDK. Više od 4,5 miliona vlasnika Android uređaja preuzelo je maliciozne aplikacije. Spisak svih malicioznih aplikacija možete pogledati na sajtu Doctor Weba.

Doctor Web je obavestio Google o tome da su stručnjaci kompanije otkrili trojansku komponentu u navedenim aplikacijama. Bar deo njih je još uvek u Play prodavnici. Preporuka stručnjaka je da vlasnici Android smart telefona i tableta uklone ove igre sa svojih uređaja.