Otkriveno 27 inficiranih igara u Google Play prodavnici koje je preuzelo 4,5 miliona korisnika

Mobilni telefoni, 25.01.2018, 11:00 AM

Otkriveno 27 inficiranih igara u Google Play prodavnici koje je preuzelo 4,5 miliona korisnika

Analitičari kompanije Doctor Web otkrili su nekoliko desetina igara u Googleovoj Play prodavnici koje sadrže malver Android.RemoteCode.127.origin koji krišom preuzima i pokreće dodatne module koji su zaduženi za različite zlonamerne aktivnosti na inficiranim uređajima.

Android.RemoteCode.127.origin je deo SDK (Software Development Kit) nazvanog Ya Ya Yun kojeg programeri koriste za proširenje funkcionalnosti aplikacija, konkretno, da omoguće gejmerima međusobnu komunikaciju.

Međutim, pored ovoga, platforma funkcioniše i kao trojanac koji krišom preuzima maliciozne module sa servera.

Kada se aplikacije sa ovim SDK pokrenu, Android.RemoteCode.127.origin šalje upit serveru za komandu i kontrolu (C&C) a kao odgovor dobija komandu za preuzimanje i pokretanje malicioznih modula.

Stručnjaci Doctor Weba presreli su i pregledali jedan takav mogul koji su nazvali Android.RemoteCode.126.origin. Kada se pokrene, on se povezuje sa C&C serverom i dobija link za preuzimanje naizgled beningne slike.

Ova slika zapravo skriva drugi trojanski modul, koji je ažurirana verzija Android.RemoteCode.126.origin. Analitičari malvera su se već susretali sa ovakvom metodom maskiranja malvera u slikama, koja se naziva steganografija. Iz Doctor Weba navode primer trojanca Android.Xiny.19.origin koji je otkriven 2016. godine.

Kada se dešifruje i pokrene, nova verzija trojanskog modula koju Doctor Web detektuje kao Android.RemoteCode.125.origin, počinje da radi istovremeno sa starijom, duplirajući funkcije. Ovaj modul preuzima još jednu sliku sa skrivenom malicioznom komponentnom, nazvanom Android.Click.221.origin.

Glavna svrha ovog modula je da krišom otvara web sajtove i klikće na linkove i banere na njima. Da bi to radio, Android.Click.221.origin preuzima skriptu sa adrese koju mu daje C&C server. Trojanac može da obavlja različite zadatke na web stranici, uključujući i to da simulira klikove na naznačene delove stranice. Ako je zadatak trojanca da klikće na linkove i reklame, sajber kriminalci zarađuju od "naduvavanja" statistike saobraćaja i klikova na banere. Međutim, to nije jedina funkcija Android.RemoteCode.127.origin, jer autori malvera mogu da naprave dodatne trojanske module koji će obavljati druge zadatke. Na primer, oni mogu da prikazuju fišing prozore i kradu lozinke korisnika, da prikazuju reklame i da krišom preuzimaju i instaliraju aplikacije.

Analitičari Doctor Weba su pronašli 27 igara u Google Play prodavnici koji koriste ovaj trojanski SDK. Više od 4,5 miliona vlasnika Android uređaja preuzelo je maliciozne aplikacije. Spisak svih malicioznih aplikacija možete pogledati na sajtu Doctor Weba.

Doctor Web je obavestio Google o tome da su stručnjaci kompanije otkrili trojansku komponentu u navedenim aplikacijama. Bar deo njih je još uvek u Play prodavnici. Preporuka stručnjaka je da vlasnici Android smart telefona i tableta uklone ove igre sa svojih uređaja.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Aplikacije za špijuniranje partnera iz Play prodavnice preuzelo na desetine hiljada korisnika

Ovih dana je lako doći do aplikacija za praćenje za mobilne telefone. Ne morate ih mnogo tražiti, ima ih i u Googleovoj prodavnici Android aplikaci... Dalje

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Hakeri mogu manipulisati fajlovima koje primite preko WhatsAppa i Telegrama

Istraživači kompanije Symantec pokazali su nekoliko zanimljivih scenarija napada na aplikacije WhatsApp i Telegram za Android. Napad nazvan "Media F... Dalje

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Hiljade Android aplikacija prikupljaju podatke za koje im niste dali dozvolu

Pametni telefoni su rudnik zlata kada su u pitanju podaci korisnika zahvaljujući aplikacijama koje neprestano prikupljaju sve moguće podatke sa ure... Dalje

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

Jedna poruka na iPhoneu može da napravi veliki problem koji se može rešiti samo brisanjem uređaja

“Tekstualne bombe” su već duže vreme problem na iPhone uređajima, ali ovaj put je to ozbiljno, jer se može popraviti samo potpunim br... Dalje

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lažni ES File Explorer iz Google Play prodavnice preuzelo 10000 korisnika

Lukas Stefanko, iz kompanije ESET, otkrio je u Google Play prodavnici lažnu aplikaciju pod nazivom ES File Explorer. Aplikacija nije nudila korisnici... Dalje