Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Scoperti numerosi giochi su Google Play infetti da un trojan

Android.RemoteCode.127.origin  dispositivi mobili   giovedì, 25 gennaio 2018

Trojan per AndroidI ricercatori di sicurezza di Dr. Web hanno scoperto su Google Play numerosi giochi per dispositivi mobili Android contenenti il trojan Android.RemoteCode.127.origin.

Il malware viene distribuito come parte di un framework per sviluppatori (SDK) chiamato Ya Ya Yun, prodotto da una società cinese. Questo framework viene utilizzato dagli sviluppatori per aggiungere alle proprie app funzionalità di comunicazione e chat tra utenti. Malauguratamente, questo kit di sviluppo contiene anche codice malevolo che viene quindi incorporato in tutte le app che ne fanno uso.

Quando un’app sviluppata con questo SDK viene lanciata sul dispositivo della vittima, il trojan si connette al server C&C da cui riceve istruzioni per scaricare e lanciare moduli aggiuntivi progettati per eseguire svariate azioni malevole. I moduli sono nascosti mediante tecniche di steganografia in immagini apparentemente innocue.

Stando a quanto scoperto finora dagli esperti di Dr. Web, lo scopo principale di questi moduli è quello di aprire siti Web di nascosto all’utente e simulare clic su link e banner pubblicitari, generando così profitti illeciti per gli autori del malware. La struttura modulare di questo trojan potrebbe consentire di espanderne in futuro le capacità con funzionalità per il furto di credenziali, che mostrano all’utente avvisi pubblicitari ingannevoli o che scaricano ed installano applicazioni aggiuntive sul dispositivo infetto.

I ricercatori hanno individuato almeno 27 giochi presenti su Google Play che utilizzano l’SDK malevolo. Si stima che queste app siano state scaricate in totale più di 4,5 milioni di volte da utenti inconsapevoli. Dr. Web ha informato tempestivamente Google della presenza di queste applicazioni malevole, ma molte di queste potrebbero essere ancora presenti sullo store ufficiale. L’elenco completo di queste app è riportato in fondo all’articolo.

L’articolo originale di Dr. Web contiene un’’analisi più dettagliata di Android.RemoteCode.127.origin, inclusi svariati indicatori di compromissione (IoC).

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di non scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Elenco delle app infette da Android.RemoteCode.127.origin (fonte: Dr. Web)
Nome app Nome pacchetto Versione
Hero Mission com.dodjoy.yxsm.global 1.8
Era of Arcania com.games37.eoa 2.2.5
Clash of Civilizations com.tapenjoy.warx 0.11.1
Sword and Magic com.UE.JYMF&hl 1.0.0
خاتم التنين – Dragon Ring (For Egypt) com.reedgame.ljeg 1.0.0
perang pahlawan com.baiduyn.indonesiamyth 1.1400.2.0
樂舞 – 超人氣3D戀愛跳舞手遊 com.baplay.love 1.0.2
Fleet Glory com.entertainment.mfgen.android 1.5.1
Kıyamet Kombat Arena com.esportshooting.fps.thekillbox.tr 1.1.4
Love Dance com.fitfun.cubizone.love 1.1.2
Never Find Me – 8v8 real-time casual game com.gemstone.neverfindme 1.0.12
惡靈退散-JK女生の穿越冒險 com.ghosttuisan.android 0.1.7
King of Warship: National Hero com.herogames.gplay.kowglo 1.5.0
King of Warship:Sail and Shoot com.herogames.gplay.kowsea 1.5.0
狂暴之翼-2017年度最具人氣及最佳對戰手遊 com.icantw.wings 0.2.8
武動九天 com.indie.wdjt.ft1 1.0.5
武動九天 com.indie.wdjt.ft2 1.0.7
Royal flush com.jiahe.jian.hjths 2.0.0.2
Sword and Magic com.linecorp.LGSAMTH Depends on a device model
Gumballs & Dungeons:Roguelike RPG Dungeon crawler com.qc.mgden.android 0.41.171020.09-1.8.6
Soul Awakening com.sa.xueqing.en 1.1.0
Warship Rising – 10 vs 10 Real-Time Esport Battle com.sixwaves.warshiprising 1.0.8
Thủy Chiến – 12 Vs 12 com.vtcmobile.thuychien 1.2.0
Dance Together music.party.together 1.1.0
頂上三国 – 本格RPGバトル com.yileweb.mgcsgja.android 1.0.5
靈魂撕裂 com.moloong.wjhj.tw 1.1.0
Star Legends com.dr.xjlh1 1.0.6

Android è un marchio di Google Inc. Il robot Android è riprodotto o modificato dal lavoro creato e condiviso da Google e utilizzato nel rispetto dei termini descritti nella licenza Creative Commons Attribuzione 3.0.

Notizie correlate

Skygofree: spyware per Android prende di mira utenti in Italia

16 gennaio 2018

I ricercatori di Kaspersky Lab hanno scoperto uno spyware per Android con caratteristiche tali da farlo ritenere uno dei più avanzati strumenti di sorveglianza per dispositivi mobili finora individuato.Leggi tutto

Il trojan Loapi estrae criptovaluta e danneggia i dispositivi Android

20 dicembre 2017

I ricercatori di Kaspersky Lab hanno individuato Loapi, un trojan per dispositivi mobili Android dalla complessa architettura modulare.Leggi tutto

GnatSpy: scoperta nuova famiglia di trojan per dispositivi mobili

19 dicembre 2017

I ricercatori di Trend Micro hanno di recente scoperto una nuova famiglia di trojan per il furto di informazioni, battezzata GnatSpy, che colpisce i dispositivi mobili Android.Leggi tutto