Android.RemoteCode.127.origin

Публикация №219 от 16.01.2018

Вирусные аналитики компании «Доктор Веб» обнаружили в каталоге Google Play несколько игр для ОС Android со встроенным в них троянцем Android.RemoteCode.127.origin. Он незаметно скачивает и запускает дополнительные модули, которые выполняют различные вредоносные функции. Например, симулируют действия пользователей, скрытно открывая веб-сайты и нажимая на расположенные на них элементы.

Android.RemoteCode.127.origin входит в состав программной платформы (SDK, Software Development Kit) под названием 呀呀云 («Я Я Юнь»), которую разработчики используют для расширения функционала своих приложений. В частности, она позволяет игрокам поддерживать друг с другом связь. Однако помимо заявленных возможностей указанная платформа выполняет троянские функции, скрытно загружая с удаленного сервера вредоносные модули.

При запуске программ, в которые встроен этот SDK, Android.RemoteCode.127.origin делает запрос к управляющему серверу. В ответ он может получить команду на загрузку и запуск вредоносных модулей, способных выполнять самые разные действия. Один из таких модулей, который перехватили и исследовали специалисты «Доктор Веб», получил имя Android.RemoteCode.126.origin. После старта он соединяется с управляющим сервером и получает от него ссылку для загрузки безобидного на первый взгляд изображения.

Ссылка на статью: https://altermodus.ru/ru/articles/219/

Читайте полную версию в оригинале: Официальный сайт Dr.WEB

• Официальный сайт Dr.WEB
• Дата: 16.01.2018 18:00
• Версия для печати