REKOMENDUJ | DO ULUBIONYCH | RSS | NEWSLETTER Nick: Hasło: ZAREJESTRUJ  
 
Autor: Kan2017-07-13 13:55 | PDA & Navi | android | trojan | gra
Kan
Wykop Sledzik Google drukuj Poleć 3

Trojan dla Androida w grze BlazBlue na Google Play - ponad milion pobrań

Specjaliści Doctor Web wykryli w Google Play grę, która zawiera trojana typu downloader. Ta złośliwa aplikacja może w skrycie pobierać, instalować i uruchamiać inne oprogramowanie. Na chwilę obecną trojan został pobrany przez ponad milion posiadaczy urządzeń mobilnych.


Ta złośliwa aplikacja, nazwana Android.DownLoader.558.origin, została osadzona w popularnej grze BlazBlue, która została już pobrana przez ponad milion użytkowników. Ten trojan jest częścią specjalnego pakietu oprogramowania (SDK, Software Development Kit) nazwanego Excelliance, zaprojekowanego do skomputeryzowania i uproszczenia aktualizacji programów w Androidzie.

W przeciwieństwie do standardowej procedury aktualizacji, gdy stara wersja aplikacji jest całkowicie zamieniana na nową, SDK wskazane powyżej zezwala na oddzielne pobranie wymaganych komponentów bez ponownego instalowania całego pakietu oprogramowania. Pozwala to twórcom programów na utrzymanie bieżącej wersji oprogramowania zainstalowanego na urządzeniu mobilnym nawet w sytuacji, gdy użytkownicy nie śledzą pojawiania się nowych wersji. Jednakże Excelliance działa jako program ładujący dla trojana, ponieważ może on ładować i uruchamiać niesprawdzone komponenty aplikacji. Ta metoda aktualizacji narusza reguły Google Play ponieważ jest niebezpieczna.

Android.DownLoader.558.origin rozpoczyna swoją pracę po wstępnym uruchomieniu programu lub gry w której został osadzony. Trojan, równolegle z innymi elementami aplikacji, jest wypakowywany z katalogu z jej zasobami i jest odszyfrowywany. Następnie ładuje się on za każdym razem, gdy urządzenie mobilne łączy się z Internetem, nawet jeśli użytkownik nigdy więcej nie uruchomi już zainfekowanej aplikacji.

Oprócz dodatkowych zasobów i aktualizacji aplikacji, Android.DownLoader.558.origin może pobierać oddzielne pliki APK, DEX i ELF. Co więcej, w niektórych przypadkach te pliki mogą być uruchamiane bez wiedzy użytkownika. Na przykład, kod pobranych plików DEX jest wykonywany automatycznie i nie wymaga żadnych działań ze strony posiadacza urządzenia mobilnego.

Do chwili obecnej podczas instalacji pobranych plików APK, użytkownik widzi standardowe okienko dialogowe, jednakże jeśli Android.DownLoader.558.origin posiada dostęp do systemu na poziomie root’a, to może instalować je niepostrzeżenie. Ta cecha jest głównym niebezpieczeństwem czyhającym ze strony SDK Excelliance. W każdym momencie jej autorzy mogą wydać polecenie załadowania obiektu nie mającego nic wspólnego z główną aplikacją, na przykład modułu reklamowego, programów firm trzecich, a nawet innych trojanów, które mogą być pobrane spoza Google Play i uruchomione bez monitu o udzielenie uprawnień.

Specjaliści Doctor Web poinformowali Google o niebezpiecznym zachowaniu się komponentu trojana w SDK użytym w grze BlazBlue, jednakże na chwilę opublikowania tego artykułu, wersja gry zawierająca Android.DownLoader.558.origin była wciąż dostępna do pobrania z Google Play.

Aplikacje zawierające tego trojana są z powodzeniem wykrywane przez produkty antywirusowe Dr.Web dla Androida jako Android.RemoteCode.81.origin; tym samym to oprogramowanie nie stanowi żadnego zagrożenia dla naszych użytkowników.

Moduł trojana śledzi aktywność sieciową i próbuje połączyć się ze swoim serwerem kontrolno-zarządzającym. W zależności od ustawień serwera, Android.DownLoader.558.origin może otrzymać polecenie pobrania innego komponentu programu. Na przykład, w przypadku gry BlazBlue, moduł ten oferuje pobranie brakujących plików i aktualizacji, jeśli takowe są dostępne

źródło: Dr.Web

Kan


Oceń ten artykuł w skali od 1 do 5.
Tagi: | android | trojan | gra Wykop Sledzik Google drukuj Poleć 3
Komentarze: 3 | Napisz komentarz | Zobacz wszystkie komentarze na forum >>

AnonimWiedzacy
Niezarejestrowany




Zgłoś naruszenie
Wysłano: 2017.07.13 14:53 Odpowiedz
Delikatnie mówiąc burza w szklance wody. Nic nie wskazuje, aby ta metoda aktualizacji tego programu była wykorzystana w szkodliwy sposób. Chociaż zdaje się, że jest to niezgodne z regulaminem Google Play. Ale oczywiście zgadzam się, że może to być niebezpieczne, że aplikacja aktualizuje się jak w Windowsie. Przecież w ten sposób rozpoczęła się infekcja NotPetya, gdy zhakowano serwer aktualizacji ME.doc.
AnonimDomi
Niezarejestrowany




Zgłoś naruszenie
Wysłano: 2017.07.13 14:35 Odpowiedz
Niestety Android tak jak Windows podatny na ataki
Anonimgosc
Niezarejestrowany




Zgłoś naruszenie
Wysłano: 2017.07.13 14:00 Odpowiedz
Jednym słowem sklep google play coś słabo filtruje te umieszczane aplikacje. A tak przestrzegają przed "instalacją z nieznanych źródeł", tymczasem syfa można pobrać właśnie z google play?

Napisz komentarz
Nick
  


Pogrubienie    Kursywa    Podkreślenie    Adres email    Cytat    Link    Obrazek    Film Youtube - wklej pełny link   

Wpisz kod z obrazka. Zaloguj się, żeby dodawać komentarze bez ograniczeń.
Wysłać powiadomienie email przy nowych odpowiedziach?






Ankieta
Czy w Polsce mamy roaming w UE według zasady RLAH (jak w kraju)?

Tak
Nie
Inne
A o co chodzi


WynikiAnkiety

Głosów 284

Newsy
Artykuły
Video
Rankingi
Pliki / Download
Redakcja
Archiwum
RSS
Regulamin
Kontakt
Telefony Taryfy
Rozrywka Systemy Rynek Tablety Inne
// dodatkowy kod na dole strony (intext)