Otkriveno 27 inficiranih igara u Google Play prodavnici koje je preuzelo 4,5 miliona korisnika

Mobilni telefoni, 25.01.2018, 11:00 AM

Otkriveno 27 inficiranih igara u Google Play prodavnici koje je preuzelo 4,5 miliona korisnika

Analitičari kompanije Doctor Web otkrili su nekoliko desetina igara u Googleovoj Play prodavnici koje sadrže malver Android.RemoteCode.127.origin koji krišom preuzima i pokreće dodatne module koji su zaduženi za različite zlonamerne aktivnosti na inficiranim uređajima.

Android.RemoteCode.127.origin je deo SDK (Software Development Kit) nazvanog Ya Ya Yun kojeg programeri koriste za proširenje funkcionalnosti aplikacija, konkretno, da omoguće gejmerima međusobnu komunikaciju.

Međutim, pored ovoga, platforma funkcioniše i kao trojanac koji krišom preuzima maliciozne module sa servera.

Kada se aplikacije sa ovim SDK pokrenu, Android.RemoteCode.127.origin šalje upit serveru za komandu i kontrolu (C&C) a kao odgovor dobija komandu za preuzimanje i pokretanje malicioznih modula.

Stručnjaci Doctor Weba presreli su i pregledali jedan takav mogul koji su nazvali Android.RemoteCode.126.origin. Kada se pokrene, on se povezuje sa C&C serverom i dobija link za preuzimanje naizgled beningne slike.

Ova slika zapravo skriva drugi trojanski modul, koji je ažurirana verzija Android.RemoteCode.126.origin. Analitičari malvera su se već susretali sa ovakvom metodom maskiranja malvera u slikama, koja se naziva steganografija. Iz Doctor Weba navode primer trojanca Android.Xiny.19.origin koji je otkriven 2016. godine.

Kada se dešifruje i pokrene, nova verzija trojanskog modula koju Doctor Web detektuje kao Android.RemoteCode.125.origin, počinje da radi istovremeno sa starijom, duplirajući funkcije. Ovaj modul preuzima još jednu sliku sa skrivenom malicioznom komponentnom, nazvanom Android.Click.221.origin.

Glavna svrha ovog modula je da krišom otvara web sajtove i klikće na linkove i banere na njima. Da bi to radio, Android.Click.221.origin preuzima skriptu sa adrese koju mu daje C&C server. Trojanac može da obavlja različite zadatke na web stranici, uključujući i to da simulira klikove na naznačene delove stranice. Ako je zadatak trojanca da klikće na linkove i reklame, sajber kriminalci zarađuju od "naduvavanja" statistike saobraćaja i klikova na banere. Međutim, to nije jedina funkcija Android.RemoteCode.127.origin, jer autori malvera mogu da naprave dodatne trojanske module koji će obavljati druge zadatke. Na primer, oni mogu da prikazuju fišing prozore i kradu lozinke korisnika, da prikazuju reklame i da krišom preuzimaju i instaliraju aplikacije.

Analitičari Doctor Weba su pronašli 27 igara u Google Play prodavnici koji koriste ovaj trojanski SDK. Više od 4,5 miliona vlasnika Android uređaja preuzelo je maliciozne aplikacije. Spisak svih malicioznih aplikacija možete pogledati na sajtu Doctor Weba.

Doctor Web je obavestio Google o tome da su stručnjaci kompanije otkrili trojansku komponentu u navedenim aplikacijama. Bar deo njih je još uvek u Play prodavnici. Preporuka stručnjaka je da vlasnici Android smart telefona i tableta uklone ove igre sa svojih uređaja.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Huawei telefoni ostaju bez Androida i Googleovih aplikacija

Huawei telefoni ostaju bez Androida i Googleovih aplikacija

Google je prisiljen da odmah prekine poslovanje sa kompanijom Huawei, što će imati dramatičan uticaj na korisnike Huawei uređaja širom sveta. "Ki... Dalje

Bag u WhatsAppu korišćen za instalaciju špijunskog softvera na iPhone i Android uređajima

Bag u WhatsAppu korišćen za instalaciju špijunskog softvera na iPhone i Android uređajima

WhatsApp je ispravio sigurnosnu grešku (CVE-2019-3568) u aplikaciji koja omogućava instalaciju špijunskog softvera na Android i iPhone uređajima. ... Dalje

Google Play će vam predlagati da deinstalirate aplikacije koje ne koristite

Google Play će vam predlagati da deinstalirate aplikacije koje ne koristite

Većina nas ima gomilu aplikacija na svojim pametnim telefonima, ali činjenica je da svakodnevno koristimo samo nekoliko aplikacija, dok ostale koris... Dalje

Apple se brani od optužbi: Uklonili smo aplikacije za roditeljsku kontrolu iz sigurnosnih razloga

Apple se brani od optužbi: Uklonili smo aplikacije za roditeljsku kontrolu iz sigurnosnih razloga

Apple tvrdi da je razlog za njegovu kontroverznu odluku da povuče konkurentske aplikacije za roditeljsku kontrolu iz App Storea zaštita privatnosti ... Dalje

Android aplikacija WiFi Finder otkrila lozinke kućnih WiFi mreža korisnika

Android aplikacija WiFi Finder otkrila lozinke kućnih WiFi mreža korisnika

Hiljade korisnika aplikacije WiFi Finder, čija je svrha da pronađe i obezbedi lozinke za javne Wi-Fi pristupne tačke, nenamerno su poslali sopstven... Dalje