Revenir vers la liste d'actualités
Doctor Web a détecté sur Google Play des jeux contaminés qui ont été téléchargés plus de 4 millions de fois
Le 16 janvier 2018
Android.RemoteCode.127.origin fait partie de la plateforme (SDK, Software Development Kit) nommée 呀呀云 (« Ya Ya Yun ») et utilisée par les développeurs pour élargir les fonctionnalités de leurs applications. Il permet entre autres aux joueurs de maintenir une communication entre eux. Cependant, en parallèle des fonctionnalités déclarées, la plateforme permet de télécharger discrètement des modules malveillants sur un serveur distant.
Au lancement des programmes dans lesquels ce SDK est intégré, Android.RemoteCode.127.origin envoie une requête au serveur de contrôle. En réponse, il peut recevoir une commande pour télécharger ou exécuter des modules malveillants capables d'effectuer différentes actions. Un de ces modules, intercepté et examiné par les analystes de Doctor Web a reçu le nom Android.RemoteCode.126.origin. Après son démarrage, il se connecte au serveur de contrôle et reçoit un lien de téléchargement d'une image pouvant à première vue passer pour une image ordinaire et inoffensive.
En fait, ce fichier graphique cache un autre cheval de Troie, où plutôt un module représentant une version actualisée d'Android.RemoteCode.126.origin. Cette méthode de masquage des objets malveillants dans des images est déjà connue des analystes. Elle a notamment été appliqué dans le Trojan Android.Xiny.19.origin détecté en 2016.
Après le déchiffrement et le lancement, la nouvelle version du module (qui est détectée par Dr.Web comme Android.RemoteCode.125.origin) commence à fonctionner simultanément avec la version ancienne, en doublant ses fonctionnalités. Puis ce module télécharge une autre image, derrière laquelle un composant malveillant est dissimulé. Il a reçu le nom Android.Click.221.origin .
Sa tâche principale est d'ouvrir discrètement des sites web et de cliquer sur les éléments placés sur ces sites, notamment sur des bannières et des liens. Pour ce faire, Android.Click.221.origin télécharge depuis l’adresse indiquée par le serveur de contrôle un script auquel il permet d'effectuer des actions sur une page visitée, y compris une imitation des clics sur les éléments spécifiés dans le script en question. Cette fonctionnalité permet aux pirates de générer des profits. Cependant, les fonctionnalités d'Android.RemoteCode.127.origin ne se limitent pas à cela, car ses auteurs sont capables de créer d'autres modules qui pourront exécuter d'autres actions malveillantes. Par exemple, ils sont en mesure d'afficher des fenêtres de phishing leur permettant de voler des identifiants, d'afficher des publicités ainsi que de télécharger discrètement et d'installer des applications.
Les analystes de Doctor Web ont détecté sur Google Play 27 jeux dans lesquels ce SDK de Trojan a été utilisé. Au total, ces jeux ont été téléchargés par plus de 4 500 000 propriétaires d’appareils mobiles. Une liste des applications embarquant Android.RemoteCode.127.origin est présentée dans le tableau ci-dessous :
| Nom du logiciel | Nom du package de logiciel | Version |
|---|---|---|
| Hero Mission | com.dodjoy.yxsm.global | 1.8 |
| Era of Arcania | com.games37.eoa | 2.2.5 |
| Clash of Civilizations | com.tapenjoy.warx | 0.11.1 |
| Sword and Magic | com.UE.JYMF&hl | 1.0.0 |
| خاتم التنين - Dragon Ring (For Egypt) | com.reedgame.ljeg | 1.0.0 |
| perang pahlawan | com.baiduyn.indonesiamyth | 1.1400.2.0 |
| 樂舞 - 超人氣3D戀愛跳舞手遊 | com.baplay.love | 1.0.2 |
| Fleet Glory | com.entertainment.mfgen.android | 1.5.1 |
| Kıyamet Kombat Arena | com.esportshooting.fps.thekillbox.tr | 1.1.4 |
| Love Dance | com.fitfun.cubizone.love | 1.1.2 |
| Never Find Me - 8v8 real-time casual game | com.gemstone.neverfindme | 1.0.12 |
| 惡靈退散-JK女生の穿越冒險 | com.ghosttuisan.android | 0.1.7 |
| King of Warship: National Hero | com.herogames.gplay.kowglo | 1.5.0 |
| King of Warship:Sail and Shoot | com.herogames.gplay.kowsea | 1.5.0 |
| 狂暴之翼-2017年度最具人氣及最佳對戰手遊 | com.icantw.wings | 0.2.8 |
| 武動九天 | com.indie.wdjt.ft1 | 1.0.5 |
| 武動九天 | com.indie.wdjt.ft2 | 1.0.7 |
| Royal flush | com.jiahe.jian.hjths | 2.0.0.2 |
| Sword and Magic | com.linecorp.LGSAMTH | Fonction du modèle d'appareil |
| Gumballs & Dungeons:Roguelike RPG Dungeon crawler | com.qc.mgden.android | 0.41.171020.09-1.8.6 |
| Soul Awakening | com.sa.xueqing.en | 1.1.0 |
| Warship Rising - 10 vs 10 Real-Time Esport Battle | com.sixwaves.warshiprising | 1.0.8 |
| Thủy Chiến - 12 Vs 12 | com.vtcmobile.thuychien | 1.2.0 |
| Dance Together | music.party.together | 1.1.0 |
| 頂上三国 - 本格RPGバトル | com.yileweb.mgcsgja.android | 1.0.5 |
| 靈魂撕裂 | com.moloong.wjhj.tw | 1.1.0 |
| Star Legends | com.dr.xjlh1 | 1.0.6 |
Les analystes ont signalé à Google la présence de ce composant malveillant dans les applications mentionnées mais au moment de la publication de cet article, les applis restaient disponibles en téléchargement. Nous recommandons aux propriétaires de Smartphones et tablettes qui ont déjà installé des jeux contenant le Trojan Android.RemoteCode.127.origin de les supprimer. Les produits antivirus Dr.Web pour Android détectent avec succès les programmes contenant Android.RemoteCode.127.origin, ce Trojan ne représente donc aucun danger pour nos utilisateurs.
Votre Android a besoin d'être protégé
Utilisez Dr.Web
- Le premier antivirus russe pour Android
- Plus de 135 millions de téléchargements sur Google Play !
- Gratuit pour les utilisateurs de produits Dr.Web pour les particuliers
Appréciez
Partagez
![[VK]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Dites "J'aime"
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments