Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Scoperti numerosi giochi su Google Play infetti da un trojan

Android.RemoteCode.127.origin  dispositivi mobili   giovedì, 25 gennaio 2018

Trojan per AndroidI ricercatori di sicurezza di Dr. Web hanno scoperto su Google Play numerosi giochi per dispositivi mobili Android contenenti il trojan Android.RemoteCode.127.origin.

Il malware viene distribuito come parte di un framework per sviluppatori (SDK) chiamato Ya Ya Yun, prodotto da una società cinese. Questo framework viene utilizzato dagli sviluppatori per aggiungere alle proprie app funzionalità di comunicazione e chat tra utenti. Malauguratamente, questo kit di sviluppo contiene anche codice malevolo che viene quindi incorporato in tutte le app che ne fanno uso.

Quando un’app sviluppata con questo SDK viene lanciata sul dispositivo della vittima, il trojan si connette al server C&C da cui riceve istruzioni per scaricare e lanciare moduli aggiuntivi progettati per eseguire svariate azioni malevole. I moduli sono nascosti mediante tecniche di steganografia in immagini apparentemente innocue.

Stando a quanto scoperto finora dagli esperti di Dr. Web, lo scopo principale di questi moduli è quello di aprire siti Web di nascosto all’utente e simulare clic su link e banner pubblicitari, generando così profitti illeciti per gli autori del malware. La struttura modulare di questo trojan potrebbe consentire di espanderne in futuro le capacità con funzionalità per il furto di credenziali, che mostrano all’utente avvisi pubblicitari ingannevoli o che scaricano ed installano applicazioni aggiuntive sul dispositivo infetto.

I ricercatori hanno individuato almeno 27 giochi presenti su Google Play che utilizzano l’SDK malevolo. Si stima che queste app siano state scaricate in totale più di 4,5 milioni di volte da utenti inconsapevoli. Dr. Web ha informato tempestivamente Google della presenza di queste applicazioni malevole, ma molte di queste potrebbero essere ancora presenti sullo store ufficiale. L’elenco completo di queste app è riportato in fondo all’articolo.

L’articolo originale di Dr. Web contiene un’’analisi più dettagliata di Android.RemoteCode.127.origin, inclusi svariati indicatori di compromissione (IoC).

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di non scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Elenco delle app infette da Android.RemoteCode.127.origin (fonte: Dr. Web)
Nome app Nome pacchetto Versione
Hero Mission com.dodjoy.yxsm.global 1.8
Era of Arcania com.games37.eoa 2.2.5
Clash of Civilizations com.tapenjoy.warx 0.11.1
Sword and Magic com.UE.JYMF&hl 1.0.0
خاتم التنين – Dragon Ring (For Egypt) com.reedgame.ljeg 1.0.0
perang pahlawan com.baiduyn.indonesiamyth 1.1400.2.0
樂舞 – 超人氣3D戀愛跳舞手遊 com.baplay.love 1.0.2
Fleet Glory com.entertainment.mfgen.android 1.5.1
Kıyamet Kombat Arena com.esportshooting.fps.thekillbox.tr 1.1.4
Love Dance com.fitfun.cubizone.love 1.1.2
Never Find Me – 8v8 real-time casual game com.gemstone.neverfindme 1.0.12
惡靈退散-JK女生の穿越冒險 com.ghosttuisan.android 0.1.7
King of Warship: National Hero com.herogames.gplay.kowglo 1.5.0
King of Warship:Sail and Shoot com.herogames.gplay.kowsea 1.5.0
狂暴之翼-2017年度最具人氣及最佳對戰手遊 com.icantw.wings 0.2.8
武動九天 com.indie.wdjt.ft1 1.0.5
武動九天 com.indie.wdjt.ft2 1.0.7
Royal flush com.jiahe.jian.hjths 2.0.0.2
Sword and Magic com.linecorp.LGSAMTH Depends on a device model
Gumballs & Dungeons:Roguelike RPG Dungeon crawler com.qc.mgden.android 0.41.171020.09-1.8.6
Soul Awakening com.sa.xueqing.en 1.1.0
Warship Rising – 10 vs 10 Real-Time Esport Battle com.sixwaves.warshiprising 1.0.8
Thủy Chiến – 12 Vs 12 com.vtcmobile.thuychien 1.2.0
Dance Together music.party.together 1.1.0
頂上三国 – 本格RPGバトル com.yileweb.mgcsgja.android 1.0.5
靈魂撕裂 com.moloong.wjhj.tw 1.1.0
Star Legends com.dr.xjlh1 1.0.6

Android è un marchio di Google Inc. Il robot Android è riprodotto o modificato dal lavoro creato e condiviso da Google e utilizzato nel rispetto dei termini descritti nella licenza Creative Commons Attribuzione 3.0.

Notizie correlate

Scoperte numerose app su Google Play infette da malware per Windows

1 agosto 2018

I ricercatori di sicurezza del team Unit 42 di Palo Alto Networks hanno scoperto su Google Play 145 app contenenti codice malevolo per Windows.Leggi tutto

App Android per il risparmio batteria nasconde adware e sottrae informazioni

22 giugno 2018

I ricercatori di RiskIQ hanno scoperto un'app malevola sullo store ufficiale di Google che nasconde un adware in uno strumento per il risparmio energetico.Leggi tutto

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto