Jeśli zamierzasz zainstalować grę lub aplikację na androida, najrozsądniejszym i najbezpieczniejszym sposobem jest skorzystanie ze sklepu Google Play. Jednak ostatnio okazało się że używanie jedynie oficjalnego sklepu Google dla urządzeń na Androidzie nie daje stuprocentowej gwarancji bezpieczeństwa.

Dziesiątki zainfekowanych gier, które pobrały tysiące użytkowników, okazało się zainfekowanych koniem trojańskim. Pomimo zaawansowanych zabezpieczeń w Google Store, nie jest to ani pierwszy, ani zapewne ostatni taki przypadek. Niezwykła jest jednak metoda jaka została użyta do przemycenia złośliwego oprogramowania na urządzenia użytkowników urządzeń z systemem Android – koń trojański nie był ukryty bezpośrednio w kodzie gier, lecz w obrazkach które ta gra używała.

Jak podano na witrynie Dr. Web – zlokalizowanej w moskwie firmy produkującej oprogramowanie antywirusowe, pracownikom firmy udało się odnaleźć ponad 60 zainfekowanych gier wyprodukowanych przez ponad 30 różnych firm i niezależnych deweloperów.

Gry zawierały konia trojańskiego Android.Xiny.19.origin. To złośliwe oprogramowanie potrafi zainstalować bez zgody użytkownika niechciane oprogramowani oraz wysłać nr IMEI oraz MAC zainfekowanego telefonu lub tabletu na zdalny serwer.

Zainfekowane gry pojawiały się już w przeszłości w sklepie Google Play, jednak to co robi z tego przypadku naprawdę interesujący, jest sposób w jaki koń trojański unika detekcji programów antywirusowych. Jego kod nie został wstrzyknięty w kod gry, znajduje się on w plikach obrazków z których korzysta gra.

Praktyka ukrywania wiadomości w obrazach znana jest jako steganografia i była już stosowana w XV wieku. Poprzez ukrycie podejrzanego kodu w obrazkach, zamiast w plikach wykonywalnych, cyberprzestępcy byli w stanie ominąć oprogramowanie GooGle Bounce – zautomatyzowanemu oprogramowaniu w Google Play które wykrywa podejrzane pliki i programy.

Po wgraniu pliku obrazka z serwera, Android.Xiny.19.origin uruchamia ukryty w nim plik apk dzięki specjalnemu algorytmowi wykonującemu. Koń trojański nie jest na razie w stanie wymusić przywileje konta root, jednak funkcja która pozwala mu pobrać i zainstalować na zainfekowanym urządzeniu dowolne oprogramowanie daje możliwość zainstalowania dowolnych exploitów które taką możliwość dadzą, lub innych złośliwych działań.