«Доктор Веб» обнаружил в Google Play зараженные игры, скачанные более 4,5 млн раз

«Доктор Веб» обнаружил в Google Play зараженные игры, скачанные более 4,5 млн раз

Аналитики обнаружили на портале Google Play несколько игровых приложений, в которые был интегрирован вирус Android.RemoteCode.127.origin. Данная утилита загружает и на устройство и активирует дополнительные компоненты, наделенные различным вредоносным функционалом. Например, возможна имитация действий пользователя: открытие интернет-страниц и выполнение различных действий на них. Все это происходит незаметно для пользователей.
Утилита является частью SDK (программная платформа), которая используется разработчиками для расширения функционала своих продуктов. В частности, появляется возможность использовать инструменты, которые позволяют игрокам полноценно общаться между собой. Однако кроме полезного присутствует и вредоносный функционал. Например, возможность незаметно загружать на устройство дополнительные вредоносные модули.
Когда пользователь запускает на устройстве приложение, в которое интегрирован данный SDK, вредоносный модуль отправляет запрос на внешний сервер. В ответ может быть прислана инструкция на загрузку одного из дополнительных модулей (с последующим запуском). Функционал данных модулей различен, однако специалистам удалось детально изучить только один из них.
Компонент получил название RemoteCode.126.origin, после запуска на атакованном устройстве он подключается к управляющему узлу и получает от него ссылку на графический файл. В теле графического файла надежно спрятано еще одно троянское приложение – обновленная версия RemoteCode.126.origin. Данный метод маскировки (стеганография) используется злоумышленниками довольно давно.
После распаковки и запуска троянский модуль начинает функционировать параллельно с первоначальным, основной функционал дублируется. Новый компонент загружает еще одно вредоносное приложение, также используя графический файл. Данный вирус, названный Click.221.origin, способен незаметно открывать интернет ресурсы и имитировать действия пользователя – переходить по ссылкам и баннерам. Для этого с управляющего сервера передается специальный скрипт, в котором и указано, по каким ссылкам необходимо перейти.
Специалисты не исключают, что появятся и другие модули, например, для кражи паролей при помощи поддельных окон, показа навязчивой рекламы (для получения значительной прибыли) или загрузки программ на мобильное устройство.

Похожие записи

Оставить комментарий