«Доктор Веб» обнаружил в Google Play зараженные игры

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько игр для ОС Android со встроенным в них троянцем Android.RemoteCode.127.origin. Он незаметно скачивает и запускает дополнительные модули, которые выполняют различные вредоносные функции. Например, симулируют действия пользователей, скрытно открывая веб-сайты и нажимая на расположенные на них элементы.

Местоположение: Москва, 3-я улица Ямского поля, вл. 2, корп. 12А Посмотреть на карте

Android.RemoteCode.127.origin входит в состав программной платформы (SDK, Software Development Kit) под названием 呀呀云 («Я Я Юнь»), которую разработчики используют для расширения функционала своих приложений. В частности, она позволяет игрокам поддерживать друг с другом связь. Однако помимо заявленных возможностей указанная платформа выполняет троянские функции, скрытно загружая с удаленного сервера вредоносные модули.

При запуске программ, в которые встроен этот SDK, Android.RemoteCode.127.origin делает запрос к управляющему серверу. В ответ он может получить команду на загрузку и запуск вредоносных модулей, способных выполнять самые разные действия. Один из таких модулей, который перехватили и исследовали специалисты «Доктор Веб», получил имя Android.RemoteCode.126.origin. После старта он соединяется с управляющим сервером и получает от него ссылку для загрузки безобидного на первый взгляд изображения.

В действительности же в этом графическом файле спрятан еще один троянский модуль, представляющий обновленную версию Android.RemoteCode.126.origin.Такой метод маскировки вредоносных объектов в изображениях (стеганография) уже не раз встречался вирусным аналитикам. Например, он применялся в обнаруженном в 2016 году троянце Android.Xiny.19.origin.

После расшифровки и запуска новая версия троянского модуля (детектируется Dr.Web как Android.RemoteCode.125.origin) начинает работать одновременно со старой, дублируя ее функции. Затем этот модуль скачивает еще одно изображение, в котором также скрыт вредоносный компонент. Он получил имя Android.Click.221.origin.

Его основная задача – незаметное открытие веб-сайтов и нажатие на расположенные на них элементы – например, ссылки и баннеры. Для этого Android.Click.221.origin загружает с указанного управляющим сервером адреса скрипт, которому предоставляет возможность совершать различные действия на странице, в том числе симулировать клики по указанным скриптом элементам. Таким образом, если в задании троянца был переход по ссылкам или рекламным объявлениям, злоумышленники получают прибыль за накрутку счетчика посещений веб-страниц и нажатия на баннеры. Однако этим функционал Android.RemoteCode.127.origin не ограничивается, т. к. вирусописатели способны создать другие троянские модули, которые будут выполнять иные вредоносные действия. Например, показывать фишинговые окна для кражи логинов и паролей, демонстрировать рекламу, а также скрытно загружать и устанавливать приложения.

Специалисты компании «Доктор Веб» обнаружили в каталоге Google Play 27 игр, в которых использовался троянский SDK. В общей сложности их загрузили более 4 500 000 владельцев мобильных устройств. Список приложений с внедренным Android.RemoteCode.127.origin представлен в таблице ниже:

Название программы  / Название программного пакета  /  Версия

Hero Mission / com.dodjoy.yxsm.global / 1.8
Era of Arcania / com.games37.eoa / 2.2.5
Clash of Civilizations / com.tapenjoy.warx / 0.11.1
Sword and Magic / com.UE.JYMF&hl / 1.0.0
خاتم التنين - Dragon Ring (For Egypt) / com.reedgame.ljeg / 1.0.0
perang pahlawan / com.baiduyn.indonesiamyth/  1.1400.2.0
樂舞 - 超人氣3D戀愛跳舞手遊 / com.baplay.love / 1.0.2
Fleet Glory / com.entertainment.mfgen.android / 1.5.1
Kıyamet Kombat Arena / com.esportshooting.fps.thekillbox.tr / 1.1.4
Love Dance / com.fitfun.cubizone.love / 1.1.2
Never Find Me - 8v8 / real-time casual game com.gemstone.neverfindme / 1.0.12
惡靈退散-JK女生の穿越冒險 / com.ghosttuisan.android / 0.1.7
King of Warship: National Hero / com.herogames.gplay.kowglo / 1.5.0
King of Warship:Sail and Shoot  /com.herogames.gplay.kowsea / 1.5.0
狂暴之翼-2017年度最具人氣及最佳對戰手遊 / com.icantw.wings / 0.2.8
武動九天 / com.indie.wdjt.ft /1 1.0.5
武動九天 / com.indie.wdjt.ft /2 1.0.7
Royal flush / com.jiahe.jian.hjths / 2.0.0.2
Sword and Magic / com.linecorp.LGSAMTH  / Зависит от модели устройства
Gumballs & Dungeons：Roguelike RPG Dungeon crawler / com.qc.mgden.android / 0.41.171020.09-1.8.6
Soul Awakening / com.sa.xueqing.en / 1.1.0
Warship Rising - 10 vs 10 Real-Time Esport Battle / com.sixwaves.warshiprising / 1.0.8
Thủy Chiến - 12 Vs 12 / com.vtcmobile.thuychien / 1.2.0
Dance Together  / music.party.together / 1.1.0
頂上三国 - 本格RPGバトル /  com.yileweb.mgcsgja.android / 1.0.5
靈魂撕裂 / com.moloong.wjhj.tw / 1.1.0
Star Legends / com.dr.xjlh / 1 1.0.6

Вирусные аналитики проинформировали корпорацию Google о наличии троянского компонента в указанных приложениях, однако на момент выхода этой публикации они все еще были доступны для загрузки. Владельцам Android-смартфонов и планшетов, которые установили игры с троянцем Android.RemoteCode.127.origin, рекомендуется удалить их. Антивирусные продукты Dr.Web для Android успешно детектируют программы, в которых содержится Android.RemoteCode.127.origin, поэтому для пользователей антивирусных продуктов "Доктор Веб" этот троянец опасности не представляет.

Материал подготовлен Компанией "Доктор Веб" ( www.drweb.com )