Doctor Web detectó en Google Play los juegos infectados descargados más de 4 500 000 veces
16 de enero de 2018
Android.RemoteCode.127.origin forma parte de una plataforma de software (SDK, Software Development Kit) llamada 呀呀云 usada por los desarrolladores para ampliar la funcionalidad de sus aplicaciones. En particular, permite a los jugadores comunicarse entre sí. Pero, además de las posibilidades declaradas, la plataforma indicada realiza las funciones troyanas, al descargar los módulos incrustados del servidor remoto sin autorización.
Al iniciar programas que tienen incrustado este SDK, Android.RemoteCode.127.origin crea una solicitud al servidor de control. En respuesta, puede recibir un comando para descargar e iniciar los módulos nocivos, capaces de realizar varias acciones. Uno de estos módulos interceptado e investigado por los expertos de Doctor Web fue llamado Android.RemoteCode.126.origin. Una vez iniciado, se conecta al servidor de control y recibe del mismo un enlace para descargar una imagen supuestamente no nociva.
En realidad, en este archivo gráfico está oculto otro módulo troyano – una versión actualizada de Android.RemoteCode.126.origin. Este método de ocultar los objetos nocivos en imágenes (estenografía) ya es conocido para los analistas de virus. Por ejemplo, se aplicó en el troyano detectado en el año 2016 - Android.Xiny.19.origin.
Una vez descifrado e iniciado, la nueva versión del módulo troyano (se detecta por Dr.Web como Android.RemoteCode.125.origin) empieza a funcionar al mismo tiempo que la antigua duplicando sus funciones. Luego este módulo descarga otra imagen que también tiene oculto un componente nocivo. Fue llamado Android.Click.221.origin.
Su tarea principal es abrir los sitios web sin autorización y hacer clics sobre los elementos de los mismos– por ejemplo, enlaces y banners. Para realizarlo, Android.Click.221.origin descarga un script del servidor indicado por el servidor de control y permite a este script realizar varias acciones en la página, así mismo, simular los clics sobre los elementos indicados por el script. De esta forma, si la tarea del troyano era seguir los enlaces o los anuncios publicitarios, los malintencionados sacan beneficio por falsificar las consultas de las páginas web y hacer clics sobre banners. Pero no es toda la funcionalidad de Android.RemoteCode.127.origin – los creadores de virus son capaces de crear otros módulos troyanos que realizarán otras acciones nocivas. Por ejemplo, visualizar las ventanas phishing para robar los nombres de usuario y las contraseñas, visualizar publicidad, así como descargar e instalar aplicaciones sin autorización.
Los expertos de la empresa Doctor Web detectaron en el catálogo Google Play 27 juegos donde se usaba SDK troyano. En total, fueron descargados por más de 4 500 000 titulares de dispositivos móviles. Un listado de aplicaciones con Android.RemoteCode.127.origin incrustado puede visualizarse en la tabla más abajo:
| Nombre del programa | Nombre del paquete de software | Versión |
|---|---|---|
| Hero Mission | com.dodjoy.yxsm.global | 1.8 |
| Era of Arcania | com.games37.eoa | 2.2.5 |
| Clash of Civilizations | com.tapenjoy.warx | 0.11.1 |
| Sword and Magic | com.UE.JYMF&hl | 1.0.0 |
| خاتم التنين - Dragon Ring (For Egypt) | com.reedgame.ljeg | 1.0.0 |
| perang pahlawan | com.baiduyn.indonesiamyth | 1.1400.2.0 |
| 樂舞 - 超人氣3D戀愛跳舞手遊 | com.baplay.love | 1.0.2 |
| Fleet Glory | com.entertainment.mfgen.android | 1.5.1 |
| Kıyamet Kombat Arena | com.esportshooting.fps.thekillbox.tr | 1.1.4 |
| Love Dance | com.fitfun.cubizone.love | 1.1.2 |
| Never Find Me - 8v8 real-time casual game | com.gemstone.neverfindme | 1.0.12 |
| 惡靈退散-JK女生の穿越冒險 | com.ghosttuisan.android | 0.1.7 |
| King of Warship: National Hero | com.herogames.gplay.kowglo | 1.5.0 |
| King of Warship:Sail and Shoot | com.herogames.gplay.kowsea | 1.5.0 |
| 狂暴之翼-2017年度最具人氣及最佳對戰手遊 | com.icantw.wings | 0.2.8 |
| 武動九天 | com.indie.wdjt.ft1 | 1.0.5 |
| 武動九天 | com.indie.wdjt.ft2 | 1.0.7 |
| Royal flush | com.jiahe.jian.hjths | 2.0.0.2 |
| Sword and Magic | com.linecorp.LGSAMTH | Depende del modelo del dispositivo |
| Gumballs & Dungeons:Roguelike RPG Dungeon crawler | com.qc.mgden.android | 0.41.171020.09-1.8.6 |
| Soul Awakening | com.sa.xueqing.en | 1.1.0 |
| Warship Rising - 10 vs 10 Real-Time Esport Battle | com.sixwaves.warshiprising | 1.0.8 |
| Thủy Chiến - 12 Vs 12 | com.vtcmobile.thuychien | 1.2.0 |
| Dance Together | music.party.together | 1.1.0 |
| 頂上三国 - 本格RPGバトル | com.yileweb.mgcsgja.android | 1.0.5 |
| 靈魂撕裂 | com.moloong.wjhj.tw | 1.1.0 |
| Star Legends | com.dr.xjlh1 | 1.0.6 |
Los analistas de virus informaron a la corporación Google sobre el componente troyano en las aplicaciones indicadas, pero en el momento de publicación de la presente noticia, las mismas aún estaban disponibles para descargar. A los titulares de tabletas y smartphones en Android que instalaron los juegos con el troyano Android.RemoteCode.127.origin, les recomendamos eliminarlos. Los productos antivirus Dr.Web para Android detectan correctamente los programas con Android.RemoteCode.127.origin, por lo tanto, este troyano no es de amenaza para nuestros usuarios.
Más información sobre el troyano
Su Android necesita protección
Use Dr.Web
- El primer antivirus ruso para Android
- Más de 135 millones de descargas solo desde Google Play
- Gratuito para los usuarios de productos de hogar Dr.Web
Valore
Comparta
![[VK]](http://st.drweb.com/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png)
Haga clic sobre "Me gusta"
![[facebook]](http://st.drweb.com/static/new-www/social/no_radius/facebook.png)
Nos importa su opinión
Para hacer una pregunta sobre la noticia para la administración del sitio web, indique al principio de su comentario @admin. Si su pregunta es para el autor de algún comentario - indique @ antes de escribir su nombre.
Otros comentarios