Doctor Web、ダウンロード数450万を超える感染したゲームをGoogle Play 上で発見
2018年1月16日
株式会社Doctor Web Pacific
Android.RemoteCode.127.origin は呀呀云(Ya Ya Yun)と呼ばれるフレームワーク(ソフトウェア開発キット、SDK:Software Development Kit)の一部です。これは、アプリケーションの機能を拡張するためにデベロッパーによって使用されており、中でも特に、ゲーマー間の通信の維持を可能にすることができます。しかしながら、このプラットフォームはその他にトロイの木馬としての機能も持っています。すなわち、リモートサーバーから悪意のあるモジュールを密かにダウンロードするというものです。
SDKの組み込まれたプログラムが起動されると、 Android.RemoteCode.127.origin はC&Cサーバーに対してリクエストを送信し、その応答として、あらゆる種類の動作を実行することのできる悪意のあるモジュールをダウンロード・起動するコマンドを受け取ります。Doctor Webのスペシャリストは、 Android.RemoteCode.126.origin と名付けられたそのようなモジュールの1つを入手し、調査を行いました。起動されると、このモジュールはC&Cサーバーに接続し、無害であると見せかけた画像をダウンロードするためのリンクを取得します。
実際は、この画像ファイル内に Android.RemoteCode.126.origin のアップデートされたバージョンであるもう1つのトロイの木馬モジュールが含まれています。悪意のあるオブジェクトを画像内に隠すこのような手法(ステガノグラフィ)はウイルスアナリストの間で既に知られています。同様の手法が用いられた例として、2016年に検出され、 Android.Xiny.19.origin と名付けられたトロイの木馬があげられます。
復号化されて起動されると、新しいバージョンのトロイの木馬モジュール(Dr.Webによって Android.RemoteCode.125.origin として検出)は古いバージョンのモジュールと同時に動作を開始することで、その機能を2倍にします。次に、悪意のあるコンポーネントの潜んだまた別の画像をダウンロードします。 Android.Click.221.origin と名付けられたこのコンポーネントの目的は、密かにWebサイトを開き、サイト上にあるリンクやバナーなどのアイテムをクリックすることです。
そのために、 Android.Click.221.origin はC&Cサーバーによって指定されたアドレスからスクリプトをダウンロードします。このスクリプトは、指定されたアイテムのクリックを模倣するなど、トロイの木馬がWebサイト上で様々な動作を実行することを可能にします。このようにトロイの木馬がリンクや広告をクリックする機能を備えていれば、サイバー犯罪者はWebサイトのトラフィックを増加させ、バナーをクリックすることで収益を得ることができます。ただし、 Android.RemoteCode.127.origin の持つ機能はこれだけに留まりません。ウイルス開発者は他の悪意のある動作を実行するまた別のトロイの木馬のモジュールを作成することができるからです。例えば、ログイン認証情報を盗むためのフィッシングウィンドウを表示させる、広告を表示させる、アプリケーションを密かにダウンロード・インストールするなどです。
Doctor Webのスペシャリストはトロイの木馬を含んだSDKを使用している27のゲームをGoogle Play上で発見しました。450万をこえるユーザーがそれらをダウンロードしています。以下は、 Android.RemoteCode.127.origin の埋め込まれたアプリケーションのリストです。
| プログラム名 | アプリケーションパッケージ名 | バージョン |
|---|---|---|
| Hero Mission | com.dodjoy.yxsm.global | 1.8 |
| Era of Arcania | com.games37.eoa | 2.2.5 |
| Clash of Civilizations | com.tapenjoy.warx | 0.11.1 |
| Sword and Magic | com.UE.JYMF&hl | 1.0.0 |
| خاتم التنين - Dragon Ring (For Egypt) | com.reedgame.ljeg | 1.0.0 |
| perang pahlawan | com.baiduyn.indonesiamyth | 1.1400.2.0 |
| 樂舞 - 超人氣3D戀愛跳舞手遊 | com.baplay.love | 1.0.2 |
| Fleet Glory | com.entertainment.mfgen.android | 1.5.1 |
| Kıyamet Kombat Arena | com.esportshooting.fps.thekillbox.tr | 1.1.4 |
| Love Dance | com.fitfun.cubizone.love | 1.1.2 |
| Never Find Me - 8v8 real-time casual game | com.gemstone.neverfindme | 1.0.12 |
| 惡靈退散-JK女生の穿越冒險 | com.ghosttuisan.android | 0.1.7 |
| King of Warship: National Hero | com.herogames.gplay.kowglo | 1.5.0 |
| King of Warship:Sail and Shoot | com.herogames.gplay.kowsea | 1.5.0 |
| 狂暴之翼-2017年度最具人氣及最佳對戰手遊 | com.icantw.wings | 0.2.8 |
| 武動九天 | com.indie.wdjt.ft1 | 1.0.5 |
| 武動九天 | com.indie.wdjt.ft2 | 1.0.7 |
| Royal flush | com.jiahe.jian.hjths | 2.0.0.2 |
| Sword and Magic | com.linecorp.LGSAMTH | Depends on a device model |
| Gumballs & Dungeons:Roguelike RPG Dungeon crawler | com.qc.mgden.android | 0.41.171020.09-1.8.6 |
| Soul Awakening | com.sa.xueqing.en | 1.1.0 |
| Warship Rising - 10 vs 10 Real-Time Esport Battle | com.sixwaves.warshiprising | 1.0.8 |
| Thủy Chiến - 12 Vs 12 | com.vtcmobile.thuychien | 1.2.0 |
| Dance Together | music.party.together | 1.1.0 |
| 頂上三国 - 本格RPGバトル | com.yileweb.mgcsgja.android | 1.0.5 |
| 靈魂撕裂 | com.moloong.wjhj.tw | 1.1.0 |
| Star Legends | com.dr.xjlh1 | 1.0.6 |
Doctor Webは、上記アプリケーション内で検出されたトロイの木馬についてGoogle社に報告を行いました。しかしながら、本記事掲載時点で、これらアプリケーションは未だダウンロード可能な状態となっています。 Android.RemoteCode.127.origin を含んだゲームをダウンロードしたAndroidスマートフォンやタブレットのユーザーは、それらを削除することが推奨されます。。Dr.Web for Androidは Android.RemoteCode.127.origin を含んだプログラムを検出することができます。そのため、Dr.Webユーザーに危害が及ぶことはありません。
Android.RemoteCode.127.originの詳細(英語)
Dr.Webを使用して
Androidデバイスを保護しましょう
- ロシアで最初に開発されたAndroid用アンチウィルスです
- Google Playだけで1億3500万回以上ダウンロードされています
- Dr.Webの個人向け製品のユーザーは無料です
Rate
Repost
![[VK]](http://st.drweb.co.jp/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.co.jp/static/new-www/social/no_radius/twitter.png)
Like
![[facebook]](http://st.drweb.co.jp/static/new-www/social/no_radius/facebook.png)
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments