Update: Geïnfecteerde nagemaakte varianten van populaire Android games in Google Play bedreigen gebruikers met backdoor trojans

ESET_Infected applications

Sliedrecht, 25 september 2015ESET heeft onlangs een onderzoek gepubliceerd over een trojan die meerdere games op het Android platform heeft getroffen. Na onze originele blogpost en het bijbehorende persbericht nauwkeurig te hebben geanalyseerd geven we in deze update extra uitleg over de feiten rond deze aanval om misverstanden te voorkomen.

De makers van de Mapin trojan hebben de ‘schone’ legitieme broncode van populaire games gekopieerd en hier malafide code aan toegevoegd. Deze gecombineerde code is als een nieuwe app geüploaded naar de Google Play en alternatieve appwinkels voor het Android platform. De makers hebben hierbij bewust applicatienamen genomen die veel lijken op de authentieke games. De code is echter verspreid onder de naam van een andere ontwikkelaar en zijn niet ondertekend met het officiële certificaat van de legitieme bedrijven, waaronder het gamebedrijf King. De ‘schone’ versies van de legitieme applicaties in Google Play zijn door de aanval niet gewijzigd of besmet. Misbruik van de populariteit van legitieme applicaties door cybercriminelen is een veelvoorkomende techniek.

Deze malafide apps zijn op geen enkele wijze verbonden met legitieme games zoals Candy Crush Saga (geproduceerd door het bedrijf King). Om misverstanden te voorkomen hebben we onze blogpost en het persbericht over deze aanval op zowel onze eigen internationale website als lokale websites van onafhankelijke partners aangepast. We bieden aan de legitieme gamemakers onze excuses aan voor het ongemak dat door onze eerdere woordkeuze is ontstaan. Bij ESET voeren we voortaan extra controles uit op onze content om dergelijke misverstanden in de toekomst te voorkomen.

——————————————————————————————————–

ESET heeft een interessante stealth cyberaanval op Android gebruikers ontdekt. Cybercriminelen hebben nagemaakte versies van populaire arcade games zoals Plants vs Zombies, Candy Crush en Super Hero Adventure gecreëerd om slachtoffers ongemerkt een backdoor trojan te laten installeren op hun Android smartphone of tablet. De malafide downloads waren beschikbaar in de officiële Google Play Store. In een blogpost op WeLiveSecurity.com analyseert ESET deze aanval in detail.

De aanval bestaat uit twee delen. In een arcade game zit een zogeheten ‘trojan dropper’ verstopt. Dit is software waarmee een trojan op afstand kan worden ingeladen op een apparaat. De trojan dropper wordt op de apparaten geïnstalleerd als Android/TrojanDropper.Mapin, terwijl de trojan zelf wordt geïnstalleerd als Android/Mapin. De malware geeft cybercriminelen de mogelijkheid de controle over apparaten van slachtoffers volledig over te nemen. Het apparaat wordt vervolgens toegevoegd aan een botnet, een netwerk van geïnfecteerd apparaten die onder beheer staat van de aanvallers.

Timer maakt detectie moeilijker

Android/Mapin is voorzien van een timer, waardoor de trojan na installatie van een malafide app niet direct wordt geactiveerd. Deze timer maakt detectie van de trojan ingewikkelder, aangezien slachtoffers niet direct worden geconfronteerd met de malware na het openen van het geïnfecteerde spel. Slachtoffers weten dus niet direct wat de bron is van malware. Hierdoor kunnen zij moeilijker gerichte actie ondernemen om het probleem op te lossen.

ESET vermoedt dat de timer de reden is dat de malware in eerste instantie niet door Google is gedetecteerd en in verschillende varianten in de officiële Google Play Store is beland. “Sommige varianten van Android/Mapin worden pas na drie dagen volledig actief. Dit is waarschijnlijk één van de redenen waardoor de trojan dropper Google’s antimalwaresysteem heeft weten te omzeilen”, zegt Lukás Stefanko, een malware onderzoeker bij ESET.

Verstopt in meerdere games

De backdoor trojan is meerdere keren aangeboden in de officiële Google Play Store. Daarnaast is Android/Mapin ook aangeboden in verschillende alternatieve (onofficiële) appwinkels. De malware was vermomd als nagemaakte versies van populaire games zoals Plants vs zombies, Plants vs Zombies 2, Subway suffers, Traffic Racer, Temple Run 2 Zombies, Super Hero Adventure, Candy Crush, Jewel Crush en Racing Rivals. Eenmaal geïnstalleerd en geactiveerd is de trojan vermomd als een update voor Google Play of de applicatie ‘Manage Settings’.

ESET waarschuwt dat de trojan nog in ontwikkeling is en in de toekomst dan ook nog gevaarlijker kan worden. “Niet alle functionaliteiten van de trojan zijn volledig geïmplementeerd. Het is mogelijk dat deze dreiging nog in ontwikkeling is en de functionaliteiten van de trojan in de toekomst worden uitgebreid”, legt Stefanko uit.

Uitgebreide analyse

Een uitgebreide analyse van Android/TrojanDropper.Mapin en Android/Mapin is beschikbaar in de blogpost Trojan Drops in Despite Google’s Bouncer op WeLiveSecurity.com.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: