Эксперты в области кибербезопасности из компании Appthority обнаружили в нескольких популярных играх для ОС Android вредоносное ПО Golduck, позволяющее злоумышленникам выполнять произвольные команды и отправлять SMS-сообщения.
Приложения загружают вредоносный код с сервера Golduck и устанавливают его на устройствах с использованием техники под названием Java отражение (Java Reflection).
По словам исследователей, вредоносные приложения представляют собой качественно сделанные классические игры, такие как Classic Block Puzzle, Classic Bomber и Classic Tank vs Super Bomber. Игры имели высокий рейтинг в Google Play Store и были загружены порядка 10,5 млн раз.
Дополнительный вредоносный APK-файл загружался с адреса hxxp: //golduck.info/pluginapk/gp.apk. В данном файле исследователи обнаружили 3 папки под легитимными на первый взгляд названиями - google.android, startapp.android.unity.ads и unity.ads. Анализируя содержимое папок, эксперты выявили скрытый код (PackageUtils.class), предназначенный для незаметной установки приложений с использованием системных разрешений.
Судя по всему, вредоносные приложения находятся на ранней стадии разработки, поскольку их код не обфусцирован, отметили специалисты.
Загружаемая дополнительная вредоносная нагрузка также включает в себя код для отправки SMS-сообщений на номера из списка контактов пользователя. Сообщения содержат информацию об игре, что потенциально увеличивает шансы распространения вредоносного ПО.
Как пояснили эксперты, Golduck позволяет злоумышленникам полностью скомпрометировать зараженное устройство, особенно на нем включен режим суперпользователя.
Исследователи уведомили Google о своей находке 20 ноября 2017 года. В настоящее время все вредоносные приложение удалены из Google Play Store. Пользователям рекомендуется удалить игры Classic Block Puzzle, Classic Bomber и Classic Tank vs Super Bomber со своих устройств как можно скорее.
Читайте также
Последние новости