Torna alla lista delle notizie
Doctor Web ha rilevato in Google Play giochi infetti, scaricati più di 4.500.000 volte
16 gennaio 2018
Android.RemoteCode.127.origin è incluso in una piattaforma software (SDK, Software Development Kit) con il nome 呀呀云 («Ya Ya Yun»), utilizzata da sviluppatori per espandere le funzionalità delle applicazioni. In particolare, consente ai giocatori di comunicare tra di loro. Tuttavia, oltre alle funzioni dichiarate, la piattaforma indicata svolge le funzioni trojan scaricando di nascosto moduli malevoli da un server remoto.
Quando vengono avviati i programmi in cui è integrato questo SDK, il malware Android.RemoteCode.127.origin invia una richiesta su un server di controllo. In cambio può ricevere un comando di download e avvio di moduli malevoli, capaci di eseguire una varietà di azioni. Uno di questi moduli, che è stato intercettato ed esaminato dagli specialisti Doctor Web, è stato denominato Android.RemoteCode.126.origin. Dopo l'avvio si connette con il suo server di gestione e ottiene un link per il download di un'immagine a prima vista innocua.
In realtà nello stesso file grafico è nascosto un altro modulo trojan, una versione aggiornata di Android.RemoteCode.126.origin. Questo metodo di mascheramento di oggetti malevoli in immagini (steganografia) è già stato riscontrato diverse volte dagli analisti dei virus. Per esempio, veniva impiegato in un trojan rilevato nel 2016 Android.Xiny.19.origin.
Dopo la decifratura e l'avvio la nuova versione del modulo trojan (Dr.Web la classifica come Android.RemoteCode.125.origin) inizia a funzionare contemporaneamente con quella vecchia, duplicando le sue funzioni. Quindi questo modulo scarica un'altra immagine in cui anche è nascosto un componente malevolo. È stato denominato Android.Click.221.origin.
Il suo obiettivo principale è quello di aprire impercettibilmente siti web e cliccare su elementi in essi collocati – per esempio, link e banner. Per farlo, Android.Click.221.origin scarica dall'indirizzo indicato dal server di gestione uno script cui viene fornita la possibilità di eseguire diverse azioni su una pagina, tra le quali le azioni per simulare i clic su elementi indicati dallo script. Così, se l'obiettivo del trojan conteneva un task di passaggio su link e annunci, i malintenzionati ricavano un profitto per aumentare furtivamente il numero di visite su siti web e di clic su banner. Le funzionalità di Android.RemoteCode.127.origin non si limitano però a questi task, in quanto gli autori dei virus possono creare altri moduli trojan che eseguiranno altre azioni malevole. Per esempio, le azioni per visualizzare finestre di phishing attraverso cui vengono rubati login e password, per mostrare pubblicità, nonché per scaricare silenziosamente e installare applicazioni.
Gli specialisti Doctor Web hanno trovato nella directory Google Play 27 giochi in cui era utilizzato l'SDK trojan. In totale essi sono stati scaricati da più di 4.500.000 proprietari di dispositivi mobili. La lista delle applicazioni con il trojan Android.RemoteCode.127.origin incorporato è riportata nella tabella di seguito:
| Nome programma | Nome pacchetto applicazione | Versione |
|---|---|---|
| Hero Mission | com.dodjoy.yxsm.global | 1.8 |
| Era of Arcania | com.games37.eoa | 2.2.5 |
| Clash of Civilizations | com.tapenjoy.warx | 0.11.1 |
| Sword and Magic | com.UE.JYMF&hl | 1.0.0 |
| خاتم التنين - Dragon Ring (For Egypt) | com.reedgame.ljeg | 1.0.0 |
| perang pahlawan | com.baiduyn.indonesiamyth | 1.1400.2.0 |
| 樂舞 - 超人氣3D戀愛跳舞手遊 | com.baplay.love | 1.0.2 |
| Fleet Glory | com.entertainment.mfgen.android | 1.5.1 |
| Kıyamet Kombat Arena | com.esportshooting.fps.thekillbox.tr | 1.1.4 |
| Love Dance | com.fitfun.cubizone.love | 1.1.2 |
| Never Find Me - 8v8 real-time casual game | com.gemstone.neverfindme | 1.0.12 |
| 惡靈退散-JK女生の穿越冒險 | com.ghosttuisan.android | 0.1.7 |
| King of Warship: National Hero | com.herogames.gplay.kowglo | 1.5.0 |
| King of Warship:Sail and Shoot | com.herogames.gplay.kowsea | 1.5.0 |
| 狂暴之翼-2017年度最具人氣及最佳對戰手遊 | com.icantw.wings | 0.2.8 |
| 武動九天 | com.indie.wdjt.ft1 | 1.0.5 |
| 武動九天 | com.indie.wdjt.ft2 | 1.0.7 |
| Royal flush | com.jiahe.jian.hjths | 2.0.0.2 |
| Sword and Magic | com.linecorp.LGSAMTH | A seconda del modello di dispositivo |
| Gumballs & Dungeons:Roguelike RPG Dungeon crawler | com.qc.mgden.android | 0.41.171020.09-1.8.6 |
| Soul Awakening | com.sa.xueqing.en | 1.1.0 |
| Warship Rising - 10 vs 10 Real-Time Esport Battle | com.sixwaves.warshiprising | 1.0.8 |
| Thủy Chiến - 12 Vs 12 | com.vtcmobile.thuychien | 1.2.0 |
| Dance Together | music.party.together | 1.1.0 |
| 頂上三国 - 本格RPGバトル | com.yileweb.mgcsgja.android | 1.0.5 |
| 靈魂撕裂 | com.moloong.wjhj.tw | 1.1.0 |
| Star Legends | com.dr.xjlh1 | 1.0.6 |
Gli analisti hanno informato la società Google della presenza di un componente trojan nelle applicazioni sopraindicate, però al momento della pubblicazione di questo articolo esse erano ancora disponibili per il download. Per i proprietari di smartphone e tablet Android che hanno installato i giochi con il trojan Android.RemoteCode.127.origin è consigliato rimuoverli. I prodotti antivirus Dr.Web per Android rilevano con successo i programmi in cui è contenuto Android.RemoteCode.127.origin quindi questo trojan non rappresenta alcuna minaccia per i nostri utenti.
Il tuo Android ha bisogno di protezione
Utilizza Dr.Web
- Il primo antivirus russo per Android
- Oltre 135 milioni di scaricamenti solo da Google Play
- Gratis per gli utenti dei prodotti Dr.Web per privati.
Vota
Rilancia la notizia sui social
![[VK]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Metti il "Like"
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
La tua opinione conta per noi
Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.
Altri commenti