Otkriveno 27 inficiranih igara u Google Play prodavnici koje je preuzelo 4,5 miliona korisnika

Mobilni telefoni, 25.01.2018, 11:00 AM

Otkriveno 27 inficiranih igara u Google Play prodavnici koje je preuzelo 4,5 miliona korisnika

Analitičari kompanije Doctor Web otkrili su nekoliko desetina igara u Googleovoj Play prodavnici koje sadrže malver Android.RemoteCode.127.origin koji krišom preuzima i pokreće dodatne module koji su zaduženi za različite zlonamerne aktivnosti na inficiranim uređajima.

Android.RemoteCode.127.origin je deo SDK (Software Development Kit) nazvanog Ya Ya Yun kojeg programeri koriste za proširenje funkcionalnosti aplikacija, konkretno, da omoguće gejmerima međusobnu komunikaciju.

Međutim, pored ovoga, platforma funkcioniše i kao trojanac koji krišom preuzima maliciozne module sa servera.

Kada se aplikacije sa ovim SDK pokrenu, Android.RemoteCode.127.origin šalje upit serveru za komandu i kontrolu (C&C) a kao odgovor dobija komandu za preuzimanje i pokretanje malicioznih modula.

Stručnjaci Doctor Weba presreli su i pregledali jedan takav mogul koji su nazvali Android.RemoteCode.126.origin. Kada se pokrene, on se povezuje sa C&C serverom i dobija link za preuzimanje naizgled beningne slike.

Ova slika zapravo skriva drugi trojanski modul, koji je ažurirana verzija Android.RemoteCode.126.origin. Analitičari malvera su se već susretali sa ovakvom metodom maskiranja malvera u slikama, koja se naziva steganografija. Iz Doctor Weba navode primer trojanca Android.Xiny.19.origin koji je otkriven 2016. godine.

Kada se dešifruje i pokrene, nova verzija trojanskog modula koju Doctor Web detektuje kao Android.RemoteCode.125.origin, počinje da radi istovremeno sa starijom, duplirajući funkcije. Ovaj modul preuzima još jednu sliku sa skrivenom malicioznom komponentnom, nazvanom Android.Click.221.origin.

Glavna svrha ovog modula je da krišom otvara web sajtove i klikće na linkove i banere na njima. Da bi to radio, Android.Click.221.origin preuzima skriptu sa adrese koju mu daje C&C server. Trojanac može da obavlja različite zadatke na web stranici, uključujući i to da simulira klikove na naznačene delove stranice. Ako je zadatak trojanca da klikće na linkove i reklame, sajber kriminalci zarađuju od "naduvavanja" statistike saobraćaja i klikova na banere. Međutim, to nije jedina funkcija Android.RemoteCode.127.origin, jer autori malvera mogu da naprave dodatne trojanske module koji će obavljati druge zadatke. Na primer, oni mogu da prikazuju fišing prozore i kradu lozinke korisnika, da prikazuju reklame i da krišom preuzimaju i instaliraju aplikacije.

Analitičari Doctor Weba su pronašli 27 igara u Google Play prodavnici koji koriste ovaj trojanski SDK. Više od 4,5 miliona vlasnika Android uređaja preuzelo je maliciozne aplikacije. Spisak svih malicioznih aplikacija možete pogledati na sajtu Doctor Weba.

Doctor Web je obavestio Google o tome da su stručnjaci kompanije otkrili trojansku komponentu u navedenim aplikacijama. Bar deo njih je još uvek u Play prodavnici. Preporuka stručnjaka je da vlasnici Android smart telefona i tableta uklone ove igre sa svojih uređaja.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ne postavljajte ovu fotografiju kao pozadinu svog Android telefona

Ne postavljajte ovu fotografiju kao pozadinu svog Android telefona

Android ima bag koji se ne viđa svakog dana: postavljanje jedne naizgled obične slike, slike zalaska sunca na jezeru, kao pozadine na Android telefo... Dalje

Popularne video aplikacije funkcionišu kao špijunski softver

Popularne video aplikacije funkcionišu kao špijunski softver

Istraživači iz VPNpro otkrili su da poznata aplikacija VivaVideo dostupna na Androidu i iOS-u, koja ima preko 100 miliona instalacija samo u Googleo... Dalje

Prevaranti nude lažnu mobilnu verziju popularne igre Valorant

Prevaranti nude lažnu mobilnu verziju popularne igre Valorant

Faza zatvorenog beta testiranja željno očekivane FPS (First-person shooter) igre Valorant je juče završena, a za to vreme distribuira se lažna mo... Dalje

Android ima novu ranjivost zbog koje je više od milijardu pametnih telefona podložno napadima

Android ima novu ranjivost zbog koje je više od milijardu pametnih telefona podložno napadima

Sećate li se Strandhogga? Reč je o ranjivosti Androida koju zlonamerne aplikacije mogu iskoristiti da se maskiraju u neku drugu aplikaciju instalir... Dalje

FBI uspeo da otključa dva iPhonea teroriste, sada kritikuje Apple zato što nije pomogao

FBI uspeo da otključa dva iPhonea teroriste, sada kritikuje Apple zato što nije pomogao

FBI je uspeo da hakuje dva iPhonea Mohameda Alšamranija, pripadnika ratnog vazduhoplovstva Saudijske Arabije koji je bio na obuci u SAD a koji je odg... Dalje