Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Doctor Web entdeckt auf Google Play infizierte Spiele, die 4.500.000 Mal heruntergeladen wurden

Frankfurt, 16. Januar 2018

Virenanalysten von Doctor Web haben im App-Katalog Google Play Android-Spiele mit dem eingebetteten Trojaner Android.RemoteCode.127.origin aufgespürt. Er lädt zusätzliche Module herunter und installiert diese. Die böswilligen Module simulieren Aktionen von Anwendern, rufen heimlich Webseiten auf und klicken auf vorgegebene Elemente.

Android.RemoteCode.127.origin ist eine Komponente des Software Development Kits (SDK) unter dem Namen 呀呀云 («Ja Ja Jun»), das Entwickler zur Erweiterung der Funktionalität ihrer Apps verwenden. Mit Hilfe dieses SDKs können Spieler in Kontakt miteinander bleiben. Das SDK hat jedoch auch andere Funktionen, und zwar lädt es heimlich böswillige Module von einem Remote-Server herunter und installiert diese.

Beim Starten von Apps, in denen dieses SDK eingebettet ist, sendet Android.RemoteCode.127.origin eine Anfrage an den Verwaltungsserver. Als Rückmeldung kann der Schädling einen Befehl zum Herunterladen von weiteren Modulen sowie Ausführen von vordefinierten Aktionen erhalten. Eines der Module, die die Virenanalysten von Doctor Web abgefangen haben, trägt den Namen Android.RemoteCode.126.origin. Nach dem Start baut er eine Verbindung zum Verwaltungsserver auf und erhält von ihm einen Link zum Herunterladen eines vermeintlich harmlosen Bildes.

screen Android.RemoteCode.126.origin #drweb

Diese Grafik ist aber mit einem weiteren Trojaner-Modul ausgerüstet, der eine neue Version von Android.RemoteCode.126.origin darstellt. Eine solche Verdeckungsmethode wurde von den Virenanalysten von Doctor Web mehrmals registriert. So wurde sie z.B. 2016 für den Trojaner Android.Xiny.19.origin eingesetzt.

Nach der Entschlüsselung startet der neue Schädling seine Aktivitäten zusammen mit der älteren Version, die von Dr.Web als Android.RemoteCode.125.origin erkannt wird. Anschließend lädt er eine Grafik herunter, die eine weitere schädliche Komponente enthält. Diese wird von Dr.Web als Android.Click.221.origin erkannt.

screen Android.RemoteCode.126.origin #drweb

Ihre Hauptaufgabe ist es, Webseiten heimlich aufzurufen und auf Links und Banner zu klicken. Dafür lädt Android.Click.221.origin ein Skript von der vorgegebenen Adresse herunter. Dieses wiederum kann auf der Webseite beliebige Aktionen vornehmen, u.a. Klicks auf vorgegebene Elemente simulieren. Wenn der Trojaner auf Links, Banner oder Anzeigen geklickt hat, schreiben die Kriminellen schwarze Zahlen. Die Funktionalität von Android.RemoteCode.127.origin geht aber darüber hinaus – die Kriminellen können beliebige Trojaner-Module entwickeln, die weitere böswillige Aktionen vornehmen. So können sie Phishing-Fenster zum Klauen von Login-Daten oder Werbung anzeigen sowie weitere böswillige Apps heimlich herunterladen und installieren.

Die Virenanalysten von Doctor Web haben auf Google Play 27 Spiele entdeckt, in denen das schadhafte SDK verwendet wurde. Insgesamt haben 4.500.000 Anwender diese böswilligen Spiele heruntergeladen. Eine Liste von Apps mit dem eingebetteten Android.RemoteCode.127.origin sieht wie folgt aus:

AppApp-PaketVersion
Hero Missioncom.dodjoy.yxsm.global1.8
Era of Arcaniacom.games37.eoa2.2.5
Clash of Civilizationscom.tapenjoy.warx0.11.1
Sword and Magiccom.UE.JYMF&hl1.0.0
خاتم التنين - Dragon Ring (For Egypt)com.reedgame.ljeg1.0.0
perang pahlawancom.baiduyn.indonesiamyth1.1400.2.0
樂舞 - 超人氣3D戀愛跳舞手遊com.baplay.love1.0.2
Fleet Glorycom.entertainment.mfgen.android1.5.1
Kıyamet Kombat Arenacom.esportshooting.fps.thekillbox.tr1.1.4
Love Dancecom.fitfun.cubizone.love1.1.2
Never Find Me - 8v8 real-time casual gamecom.gemstone.neverfindme1.0.12
惡靈退散-JK女生の穿越冒險com.ghosttuisan.android0.1.7
King of Warship: National Herocom.herogames.gplay.kowglo1.5.0
King of Warship:Sail and Shootcom.herogames.gplay.kowsea1.5.0
狂暴之翼-2017年度最具人氣及最佳對戰手遊com.icantw.wings0.2.8
武動九天com.indie.wdjt.ft11.0.5
武動九天com.indie.wdjt.ft21.0.7
Royal flushcom.jiahe.jian.hjths2.0.0.2
Sword and Magiccom.linecorp.LGSAMTHЗависит от модели устройства
Gumballs & Dungeons:Roguelike RPG Dungeon crawlercom.qc.mgden.android0.41.171020.09-1.8.6
Soul Awakeningcom.sa.xueqing.en1.1.0
Warship Rising - 10 vs 10 Real-Time Esport Battlecom.sixwaves.warshiprising1.0.8
Thủy Chiến - 12 Vs 12com.vtcmobile.thuychien1.2.0
Dance Togethermusic.party.together1.1.0
頂上三国 - 本格RPGバトルcom.yileweb.mgcsgja.android1.0.5
靈魂撕裂com.moloong.wjhj.tw1.1.0
Star Legendscom.dr.xjlh11.0.6

Die Virenanalysten von Doctor Web haben Google über die trojanische Komponente in den oben erwähnten Apps informiert. Zum Zeitpunkt der Veröffentlichung dieser Meldung standen sie aber immer noch zum Herunterladen bereit. Inhaber von Android-Smartphones und -Tablets, die Spiele mit dem Trojaner Android.RemoteCode.127.origin installiert haben, sollten diese so schnell wie möglich löschen. Dr.Web Produkte für Android erkennen Apps, die Android.RemoteCode.127.origin enthalten. Für Dr.Web Anwender stellt der Trojaner daher keine Bedrohung dar.

Mehr zum Trojaner

Ihr Android-Gerät braucht einen Virenschutz
Nutzen Sie Dr.Web

Kostenlos herunterladen

  • Über 135 Mio. Downloads auf Google Play
  • Gratis für Dr.Web Heimanwender

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2018

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Platz der Einheit 1. 60327 Frankfurt