Jesteś tutaj:-, Bezpieczeństwo, Gry, Inne, Newsy, Tablety-Trojan dla Androida w grze BlazBlue na Google Play – ponad milion pobrań

Trojan dla Androida w grze BlazBlue na Google Play – ponad milion pobrań

Specjaliści Doctor Web wykryli w Google aplikacja może w skrycie pobierać, instalować i uruchamiać inne oprogramowanie. Na chwilę obecną trojan został pobrany przez ponad milion posiadaczy urządzeń mobilnych.


Ta złośliwa aplikacja, nazwana Android.DownLoader.558.origin, została osadzona w popularnej grze BlazBlue, która została już pobrana przez ponad milion użytkowników. Ten trojan jest częścią specjalnego pakietu oprogramowania (SDK, Software Development Kit) nazwanego Excelliance, zaprojekowanego do skomputeryzowania i uproszczenia aktualizacji programów w Androidzie.

W przeciwieństwie do standardowej procedury aktualizacji, gdy stara wersja aplikacji jest całkowicie zamieniana na nową, SDK wskazane powyżej zezwala na oddzielne pobranie wymaganych komponentów bez ponownego instalowania całego pakietu oprogramowania. Pozwala to twórcom programów na utrzymanie bieżącej wersji oprogramowania zainstalowanego na urządzeniu mobilnym nawet w sytuacji, gdy użytkownicy nie śledzą pojawiania się nowych wersji. Jednakże Excelliance działa jako program ładujący dla trojana, ponieważ może on ładować i uruchamiać niesprawdzone komponenty aplikacji. Ta metoda aktualizacji narusza reguły Google Play ponieważ jest niebezpieczna.

Android.DownLoader.558.origin rozpoczyna swoją pracę po wstępnym uruchomieniu programu lub gry w której został osadzony. Trojan, równolegle z innymi elementami aplikacji, jest wypakowywany z katalogu z jej zasobami i jest odszyfrowywany. Następnie ładuje się on za każdym razem, gdy urządzenie mobilne łączy się z Internetem, nawet jeśli użytkownik nigdy więcej nie uruchomi już zainfekowanej aplikacji.

Oprócz dodatkowych zasobów i aktualizacji aplikacji, Android.DownLoader.558.origin może pobierać oddzielne pliki APK, DEX i ELF. Co więcej, w niektórych przypadkach te pliki mogą być uruchamiane bez wiedzy użytkownika. Na przykład, kod pobranych plików DEX jest wykonywany automatycznie i nie wymaga żadnych działań ze strony posiadacza urządzenia mobilnego.

Do chwili obecnej podczas instalacji pobranych plików APK, użytkownik widzi standardowe okienko dialogowe, jednakże jeśli Android.DownLoader.558.origin posiada dostęp do systemu na poziomie root’a, to może instalować je niepostrzeżenie. Ta cecha jest głównym niebezpieczeństwem czyhającym ze strony SDK Excelliance. W każdym momencie jej autorzy mogą wydać polecenie załadowania obiektu nie mającego nic wspólnego z główną aplikacją, na przykład modułu reklamowego, programów firm trzecich, a nawet innych trojanów, które mogą być pobrane spoza Google Play i uruchomione bez monitu o udzielenie uprawnień.

Specjaliści Doctor Web poinformowali Google o niebezpiecznym zachowaniu się komponentu trojana w SDK użytym w grze BlazBlue, jednakże na chwilę opublikowania tego artykułu, wersja gry zawierająca Android.DownLoader.558.origin była wciąż dostępna do pobrania z Google Play.

Aplikacje zawierające tego trojana są z powodzeniem wykrywane przez produkty antywirusowe Dr.Web dla Androida jako Android.RemoteCode.81.origin; tym samym to oprogramowanie nie stanowi żadnego zagrożenia dla naszych użytkowników.

Moduł trojana śledzi aktywność sieciową i próbuje połączyć się ze swoim serwerem kontrolno-zarządzającym. W zależności od ustawień serwera, Android.DownLoader.558.origin może otrzymać polecenie pobrania innego komponentu programu. Na przykład, w przypadku gry BlazBlue, moduł ten oferuje pobranie brakujących plików i aktualizacji, jeśli takowe są dostępne

źródło: Dr.Web

Kan

Autor |2017-07-13T13:55:47+02:0013 lipca 2017 13:55|Kategorie: Android, Bezpieczeństwo, Gry, Inne, Newsy, Tablety|Tagi: , , |3 komentarze

3 komentarze

  1. gosc 13 lipca 2017 w 12:00 - Odpowiedz

    Jednym słowem sklep google play coś słabo filtruje te umieszczane aplikacje. A tak przestrzegają przed „instalacją z nieznanych źródeł”, tymczasem syfa można pobrać właśnie z google play?

  2. Domi 13 lipca 2017 w 12:35 - Odpowiedz

    Niestety Android tak jak Windows podatny na ataki

  3. Wiedzacy 13 lipca 2017 w 12:53 - Odpowiedz

    Delikatnie mówiąc burza w szklance wody. Nic nie wskazuje, aby ta metoda aktualizacji tego programu była wykorzystana w szkodliwy sposób. Chociaż zdaje się, że jest to niezgodne z regulaminem Google Play.

    Ale oczywiście zgadzam się, że może to być niebezpieczne, że aplikacja aktualizuje się jak w Windowsie. Przecież w ten sposób rozpoczęła się infekcja NotPetya, gdy zhakowano serwer aktualizacji ME.doc.

Zostaw komentarz

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.