Защити созданное

Другие наши ресурсы

  • free.drweb.ru — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.ru — сетевая лечащая утилита Dr.Web CureNet!
  • www.drweb.ru/web-iq — ВебIQметр
Закрыть

Библиотека
Моя библиотека

+ Добавить в библиотеку

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype

Свяжитесь с нами

Профиль

Профиль

Назад к списку новостей

16 января 2018 года

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько игр для ОС Android со встроенным в них троянцем Android.RemoteCode.127.origin. Он незаметно скачивает и запускает дополнительные модули, которые выполняют различные вредоносные функции. Например, симулируют действия пользователей, скрытно открывая веб-сайты и нажимая на расположенные на них элементы.

Android.RemoteCode.127.origin входит в состав программной платформы (SDK, Software Development Kit) под названием 呀呀云 («Я Я Юнь»), которую разработчики используют для расширения функционала своих приложений. В частности, она позволяет игрокам поддерживать друг с другом связь. Однако помимо заявленных возможностей указанная платформа выполняет троянские функции, скрытно загружая с удаленного сервера вредоносные модули.

При запуске программ, в которые встроен этот SDK, Android.RemoteCode.127.origin делает запрос к управляющему серверу. В ответ он может получить команду на загрузку и запуск вредоносных модулей, способных выполнять самые разные действия. Один из таких модулей, который перехватили и исследовали специалисты «Доктор Веб», получил имя Android.RemoteCode.126.origin. После старта он соединяется с управляющим сервером и получает от него ссылку для загрузки безобидного на первый взгляд изображения.

screen Android.RemoteCode.126.origin #drweb

В действительности же в этом графическом файле спрятан еще один троянский модуль, представляющий обновленную версию Android.RemoteCode.126.origin.Такой метод маскировки вредоносных объектов в изображениях (стеганография) уже не раз встречался вирусным аналитикам. Например, он применялся в обнаруженном в 2016 году троянце Android.Xiny.19.origin.

После расшифровки и запуска новая версия троянского модуля (детектируется Dr.Web как Android.RemoteCode.125.origin) начинает работать одновременно со старой, дублируя ее функции. Затем этот модуль скачивает еще одно изображение, в котором также скрыт вредоносный компонент. Он получил имя Android.Click.221.origin.

screen Android.RemoteCode.126.origin #drweb

Его основная задача – незаметное открытие веб-сайтов и нажатие на расположенные на них элементы – например, ссылки и баннеры. Для этого Android.Click.221.origin загружает с указанного управляющим сервером адреса скрипт, которому предоставляет возможность совершать различные действия на странице, в том числе симулировать клики по указанным скриптом элементам. Таким образом, если в задании троянца был переход по ссылкам или рекламным объявлениям, злоумышленники получают прибыль за накрутку счетчика посещений веб-страниц и нажатия на баннеры. Однако этим функционал Android.RemoteCode.127.origin не ограничивается, т. к. вирусописатели способны создать другие троянские модули, которые будут выполнять иные вредоносные действия. Например, показывать фишинговые окна для кражи логинов и паролей, демонстрировать рекламу, а также скрытно загружать и устанавливать приложения.

Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play 27 игр, в которых использовался троянский SDK. В общей сложности их загрузили более 4 500 000 владельцев мобильных устройств. Список приложений с внедренным Android.RemoteCode.127.origin представлен в таблице ниже:

Название программыНазвание программного пакетаВерсия
Hero Missioncom.dodjoy.yxsm.global1.8
Era of Arcaniacom.games37.eoa2.2.5
Clash of Civilizationscom.tapenjoy.warx0.11.1
Sword and Magiccom.UE.JYMF&hl1.0.0
خاتم التنين - Dragon Ring (For Egypt)com.reedgame.ljeg1.0.0
perang pahlawancom.baiduyn.indonesiamyth1.1400.2.0
樂舞 - 超人氣3D戀愛跳舞手遊com.baplay.love1.0.2
Fleet Glorycom.entertainment.mfgen.android1.5.1
Kıyamet Kombat Arenacom.esportshooting.fps.thekillbox.tr1.1.4
Love Dancecom.fitfun.cubizone.love1.1.2
Never Find Me - 8v8 real-time casual gamecom.gemstone.neverfindme1.0.12
惡靈退散-JK女生の穿越冒險com.ghosttuisan.android0.1.7
King of Warship: National Herocom.herogames.gplay.kowglo1.5.0
King of Warship:Sail and Shootcom.herogames.gplay.kowsea1.5.0
狂暴之翼-2017年度最具人氣及最佳對戰手遊com.icantw.wings0.2.8
武動九天com.indie.wdjt.ft11.0.5
武動九天com.indie.wdjt.ft21.0.7
Royal flushcom.jiahe.jian.hjths2.0.0.2
Sword and Magiccom.linecorp.LGSAMTHЗависит от модели устройства
Gumballs & Dungeons:Roguelike RPG Dungeon crawlercom.qc.mgden.android0.41.171020.09-1.8.6
Soul Awakeningcom.sa.xueqing.en1.1.0
Warship Rising - 10 vs 10 Real-Time Esport Battlecom.sixwaves.warshiprising1.0.8
Thủy Chiến - 12 Vs 12com.vtcmobile.thuychien1.2.0
Dance Togethermusic.party.together1.1.0
頂上三国 - 本格RPGバトルcom.yileweb.mgcsgja.android1.0.5
靈魂撕裂com.moloong.wjhj.tw1.1.0
Star Legendscom.dr.xjlh11.0.6

Вирусные аналитики проинформировали корпорацию Google о наличии троянского компонента в указанных приложениях, однако на момент выхода этой публикации они все еще были доступны для загрузки. Владельцам Android-смартфонов и планшетов, которые установили игры с троянцем Android.RemoteCode.127.origin, рекомендуется удалить их. Антивирусные продукты Dr.Web для Android успешно детектируют программы, в которых содержится Android.RemoteCode.127.origin, поэтому для наших пользователей этот троянец опасности не представляет.

Подробнее о троянце

Ваш Android нуждается в защите
Используйте Dr.Web

Скачать бесплатно

  • Первый российский антивирус для Android
  • Более 135 миллионов скачиваний только с Google Play
  • Бесплатный для пользователей домашних продуктов Dr.Web
#Google_Play, #Android, #мобильный, #троянец, #магазины_приложений

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2018

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А