Doctor Web entdeckt auf Google Play infizierte Spiele, die 4.500.000 Mal heruntergeladen wurden
Frankfurt, 16. Januar 2018
Android.RemoteCode.127.origin ist eine Komponente des Software Development Kits (SDK) unter dem Namen 呀呀云 («Ja Ja Jun»), das Entwickler zur Erweiterung der Funktionalität ihrer Apps verwenden. Mit Hilfe dieses SDKs können Spieler in Kontakt miteinander bleiben. Das SDK hat jedoch auch andere Funktionen, und zwar lädt es heimlich böswillige Module von einem Remote-Server herunter und installiert diese.
Beim Starten von Apps, in denen dieses SDK eingebettet ist, sendet Android.RemoteCode.127.origin eine Anfrage an den Verwaltungsserver. Als Rückmeldung kann der Schädling einen Befehl zum Herunterladen von weiteren Modulen sowie Ausführen von vordefinierten Aktionen erhalten. Eines der Module, die die Virenanalysten von Doctor Web abgefangen haben, trägt den Namen Android.RemoteCode.126.origin. Nach dem Start baut er eine Verbindung zum Verwaltungsserver auf und erhält von ihm einen Link zum Herunterladen eines vermeintlich harmlosen Bildes.
Diese Grafik ist aber mit einem weiteren Trojaner-Modul ausgerüstet, der eine neue Version von Android.RemoteCode.126.origin darstellt. Eine solche Verdeckungsmethode wurde von den Virenanalysten von Doctor Web mehrmals registriert. So wurde sie z.B. 2016 für den Trojaner Android.Xiny.19.origin eingesetzt.
Nach der Entschlüsselung startet der neue Schädling seine Aktivitäten zusammen mit der älteren Version, die von Dr.Web als Android.RemoteCode.125.origin erkannt wird. Anschließend lädt er eine Grafik herunter, die eine weitere schädliche Komponente enthält. Diese wird von Dr.Web als Android.Click.221.origin erkannt.
Ihre Hauptaufgabe ist es, Webseiten heimlich aufzurufen und auf Links und Banner zu klicken. Dafür lädt Android.Click.221.origin ein Skript von der vorgegebenen Adresse herunter. Dieses wiederum kann auf der Webseite beliebige Aktionen vornehmen, u.a. Klicks auf vorgegebene Elemente simulieren. Wenn der Trojaner auf Links, Banner oder Anzeigen geklickt hat, schreiben die Kriminellen schwarze Zahlen. Die Funktionalität von Android.RemoteCode.127.origin geht aber darüber hinaus – die Kriminellen können beliebige Trojaner-Module entwickeln, die weitere böswillige Aktionen vornehmen. So können sie Phishing-Fenster zum Klauen von Login-Daten oder Werbung anzeigen sowie weitere böswillige Apps heimlich herunterladen und installieren.
Die Virenanalysten von Doctor Web haben auf Google Play 27 Spiele entdeckt, in denen das schadhafte SDK verwendet wurde. Insgesamt haben 4.500.000 Anwender diese böswilligen Spiele heruntergeladen. Eine Liste von Apps mit dem eingebetteten Android.RemoteCode.127.origin sieht wie folgt aus:
| App | App-Paket | Version |
|---|---|---|
| Hero Mission | com.dodjoy.yxsm.global | 1.8 |
| Era of Arcania | com.games37.eoa | 2.2.5 |
| Clash of Civilizations | com.tapenjoy.warx | 0.11.1 |
| Sword and Magic | com.UE.JYMF&hl | 1.0.0 |
| خاتم التنين - Dragon Ring (For Egypt) | com.reedgame.ljeg | 1.0.0 |
| perang pahlawan | com.baiduyn.indonesiamyth | 1.1400.2.0 |
| 樂舞 - 超人氣3D戀愛跳舞手遊 | com.baplay.love | 1.0.2 |
| Fleet Glory | com.entertainment.mfgen.android | 1.5.1 |
| Kıyamet Kombat Arena | com.esportshooting.fps.thekillbox.tr | 1.1.4 |
| Love Dance | com.fitfun.cubizone.love | 1.1.2 |
| Never Find Me - 8v8 real-time casual game | com.gemstone.neverfindme | 1.0.12 |
| 惡靈退散-JK女生の穿越冒險 | com.ghosttuisan.android | 0.1.7 |
| King of Warship: National Hero | com.herogames.gplay.kowglo | 1.5.0 |
| King of Warship:Sail and Shoot | com.herogames.gplay.kowsea | 1.5.0 |
| 狂暴之翼-2017年度最具人氣及最佳對戰手遊 | com.icantw.wings | 0.2.8 |
| 武動九天 | com.indie.wdjt.ft1 | 1.0.5 |
| 武動九天 | com.indie.wdjt.ft2 | 1.0.7 |
| Royal flush | com.jiahe.jian.hjths | 2.0.0.2 |
| Sword and Magic | com.linecorp.LGSAMTH | Зависит от модели устройства |
| Gumballs & Dungeons:Roguelike RPG Dungeon crawler | com.qc.mgden.android | 0.41.171020.09-1.8.6 |
| Soul Awakening | com.sa.xueqing.en | 1.1.0 |
| Warship Rising - 10 vs 10 Real-Time Esport Battle | com.sixwaves.warshiprising | 1.0.8 |
| Thủy Chiến - 12 Vs 12 | com.vtcmobile.thuychien | 1.2.0 |
| Dance Together | music.party.together | 1.1.0 |
| 頂上三国 - 本格RPGバトル | com.yileweb.mgcsgja.android | 1.0.5 |
| 靈魂撕裂 | com.moloong.wjhj.tw | 1.1.0 |
| Star Legends | com.dr.xjlh1 | 1.0.6 |
Die Virenanalysten von Doctor Web haben Google über die trojanische Komponente in den oben erwähnten Apps informiert. Zum Zeitpunkt der Veröffentlichung dieser Meldung standen sie aber immer noch zum Herunterladen bereit. Inhaber von Android-Smartphones und -Tablets, die Spiele mit dem Trojaner Android.RemoteCode.127.origin installiert haben, sollten diese so schnell wie möglich löschen. Dr.Web Produkte für Android erkennen Apps, die Android.RemoteCode.127.origin enthalten. Für Dr.Web Anwender stellt der Trojaner daher keine Bedrohung dar.
Ihr Android-Gerät braucht einen Virenschutz
Nutzen Sie Dr.Web
- Über 135 Mio. Downloads auf Google Play
- Gratis für Dr.Web Heimanwender
Bewerten
Teilen/Liken
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Ihre Meinung ist uns wichtig!
Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.
Andere Kommentare