Geïnfecteerde varianten Android games bedreigen gebruikers

Next story

Sliedrecht, 25 september 2015 – ESET heeft onlangs een onderzoek gepubliceerd over een trojan die meerdere games op het Android platform heeft getroffen. Na onze originele blogpost en het bijbehorende persbericht nauwkeurig te hebben geanalyseerd geven we in deze update extra uitleg over de feiten rond deze aanval om misverstanden te voorkomen:De makers van de Mapin trojan hebben de ‘schone’ legitieme broncode van populaire games gekopieerd en hier malafide code aan toegevoegd. Deze gecombineerde code is als een nieuwe app geüploaded naar de Google Play en alternatieve appwinkels voor het Android platform. De makers hebben hierbij bewust applicatienamen genomen die veel lijken op de authentieke games. De code is echter verspreid onder de naam van een andere ontwikkelaar en zijn niet ondertekend met het officiële certificaat van de legitieme bedrijven, waaronder het gamebedrijf King. De ‘schone’ versies van de legitieme applicaties in Google Play zijn door de aanval niet gewijzigd of besmet. Misbruik van de populariteit van legitieme applicaties door cybercriminelen is een veelvoorkomende techniek. Deze malafide apps zijn op geen enkele wijze verbonden met legitieme games zoals Candy Crush Saga (geproduceerd door het bedrijf King). Om misverstanden te voorkomen hebben we onze blogpost en het persbericht over deze aanval op zowel onze eigen internationale website als lokale websites van onafhankelijke partners aangepast. We bieden aan de legitieme gamemakers onze excuses aan voor het ongemak dat door onze eerdere woordkeuze is ontstaan. Bij ESET voeren we voortaan extra controles uit op onze content om dergelijke misverstanden in de toekomst te voorkomen.

--------------------------------------------------------------------------------------------------------ESETheeft een interessante stealth cyberaanval op Android gebruikers ontdekt. Cybercriminelen hebben nagemaakte versies van populaire arcade games zoals Plants vs Zombies, Candy Crush en Super Hero Adventure gecreëerd om slachtoffers ongemerkt een backdoor trojan te laten installeren op hun Android smartphone of tablet. De malafide downloads waren beschikbaar in de officiële Google Play Store. In een blogpost op WeLiveSecurity.comanalyseert ESET deze aanval in detail.De aanval bestaat uit twee delen. In een arcade game zit een zogeheten 'trojan dropper' verstopt. Dit is software waarmee een trojan op afstand kan worden ingeladen op een apparaat. De trojan dropper wordt op de apparaten geïnstalleerd als Android/TrojanDropper.Mapin, terwijl de trojan zelf wordt geïnstalleerd als Android/Mapin. De malware geeft cybercriminelen de mogelijkheid de controle over apparaten van slachtoffers volledig over te nemen. Het apparaat wordt vervolgens toegevoegd aan een botnet, een netwerk van geïnfecteerd apparaten die onder beheer staat van de aanvallers.Timer maakt detectie moeilijker
Android/Mapin is voorzien van een timer, waardoor de trojan na installatie van een malafide app niet direct wordt geactiveerd. Deze timer maakt detectie van de trojan ingewikkelder, aangezien slachtoffers niet direct worden geconfronteerd met de malware na het openen van het geïnfecteerde spel. Slachtoffers weten dus niet direct wat de bron is van malware. Hierdoor kunnen zij moeilijker gerichte actie ondernemen om het probleem op te lossen.ESET vermoedt dat de timer de reden is dat de malware in eerste instantie niet door Google is gedetecteerd en in verschillende varianten in de officiële Google Play Store is beland. "Sommige varianten van Android/Mapin worden pas na drie dagen volledig actief. Dit is waarschijnlijk één van de redenen waardoor de trojan dropper Google's antimalwaresysteem heeft weten te omzeilen", zegt Lukás Stefanko, een malware onderzoeker bij ESET.Verstopt in meerdere games
De backdoor trojan is meerdere keren aangeboden in de officiële Google Play Store. Daarnaast is Android/Mapin ook aangeboden in verschillende alternatieve (onofficiële) appwinkels. De malware was vermomd als nagemaakte versies van populaire games zoals Plants vs zombies, Plants vs Zombies 2, Subway suffers, Traffic Racer, Temple Run 2 Zombies, Super Hero Adventure, Candy Crush, Jewel Crush en Racing Rivals. Eenmaal geïnstalleerd en geactiveerd is de trojan vermomd als een update voor Google Play of de applicatie 'Manage Settings'.ESET waarschuwt dat de trojan nog in ontwikkeling is en in de toekomst dan ook nog gevaarlijker kan worden. "Niet alle functionaliteiten van de trojan zijn volledig geïmplementeerd. Het is mogelijk dat deze dreiging nog in ontwikkeling is en de functionaliteiten van de trojan in de toekomst worden uitgebreid", legt Stefanko uit.Uitgebreide analyse
Een uitgebreide analyse van Android/TrojanDropper.Mapin en Android/Mapin is beschikbaar in de
blogpost Trojan Drops in Despite Google's Bouncerop WeLiveSecurity.com.

Over ESET
Sinds 1987 ontwikkelt ESET bekroonde beveiligingssoftware die meer dan 100 miljoen gebruikers helpt om technologie veiliger te gebruiken. Het brede portfolio van beveiligingsproducten is geschikt voor alle populaire platformen en biedt bedrijven en consumenten over de gehele wereld de perfecte balans tussen prestaties en proactieve bescherming. Het wereldwijde verkoopnetwerk beslaat 180 landen, met regionale kantoren in Bratislava, San Diego, Singapore en Buenos Aires. Meer informatie is te vinden op www.eset.nl of volg ons op LinkedInFacebook en Twitter.Voor meer informatie:ESET Nederland
Dave Maasland
Managing Director ESET Nederland
T: +31 (0)184 647720
M: dave@eset.nlCo-Workx
Nelleke Braam
+31 (0)76 888 0077

nelleke@co-workx.nl