SpinOK Malware downloadet over 400 millioner gange i mere end 100 kompromitterede apps

Sikkerhedsforskere gjorde en væsentlig konstatering vedrørende en Android-softwarekomponent, der besidder spyware-egenskaber. Dens primære funktion er at indsamle oplysninger om filer gemt på enheder og lette deres overførsel til ondsindede personer. Ydermere besidder det evnen til at erstatte og uploade udklipsholderindhold til en fjernserver. Markeret som Android.Spy.SpinOk distribueres denne komponent som et marketingsoftwareudviklingssæt (SDK), som udviklere kan integrere i forskellige applikationer og spil, inklusive dem, der findes på Google Play.

Ved første øjekast er SpinOk-modulet designet til at opretholde brugernes engagement i apps gennem inkorporering af minispil, opgavesystemer og påståede præmier og belønninger. Når den startes, etablerer denne trojanske SDK en forbindelse med en kommando-og-kontrol-server (C&C) ved at sende en anmodning, der indeholder en lang række tekniske detaljer om den inficerede enhed.

Dette inkluderer data fra sensorer som gyroskopet og magnetometeret, som kan bruges til at detektere emulatormiljøer og tilpasse modulets operationelle procedurer for at undgå opdagelse af sikkerhedsforskere. Derudover omgår den enhedens proxyindstillinger for at skjule netværksforbindelser under analyse. Som svar modtager modulet en liste over URL'er fra serveren, som det efterfølgende åbner i WebView for at udstille reklamebannere.

SpinOK-funktioner

Den trojanske SDK udvider mulighederne for JavaScript-kode, der udføres på indlæste websider med reklamer. Den introducerer forskellige funktionaliteter til denne kode, såsom evnen til at:

• Hent en liste over filer i specificerede mapper.
• Bekræft tilstedeværelsen af specifikke filer eller mapper på enheden.
• Hent en fil fra enheden.
• Kopier eller erstat indholdet af udklipsholderen.

Som følge heraf kan operatørerne af dette trojanske modul få adgang til fortrolige oplysninger og filer fra en brugers enhed, især filer, der kan nås af apps, der indeholder Android.Spy.SpinOk. For at opnå dette skal angriberne indsætte den tilsvarende kode på HTML-siden på reklamebanneret.

Sikkerhedsforskere afslørede dette trojanske modul og identificerede flere variationer af det i flere apps distribueret via Google Play. Mens nogle af disse apps fortsætter med at rumme det ondsindede SDK, havde andre det kun i specifikke versioner eller er blevet fuldstændigt fjernet fra kataloget. Vores malware-analytikere opdagede dens tilstedeværelse i 101 apps med i alt mindst 421.290.300 downloads. Som følge heraf er hundredvis af millioner af ejere af Android-enheder udsat for risikoen for at blive ofre for cyberspionage. Doctor Web underrettede omgående Google om denne afdækkede trussel.