Κακόβουλο λογισμικό SpinOK λήφθηκε πάνω από 400 εκατομμύρια φορές, σε 100+ παραβιασμένες εφαρμογές

Οι ερευνητές ασφαλείας έκαναν ένα σημαντικό εύρημα σχετικά με ένα στοιχείο λογισμικού Android που διαθέτει δυνατότητες spyware. Η κύρια λειτουργία του είναι να συλλέγει πληροφορίες για αρχεία που είναι αποθηκευμένα σε συσκευές και να διευκολύνει τη μετάδοσή τους σε κακόβουλα άτομα. Επιπλέον, διαθέτει τη δυνατότητα αντικατάστασης και αποστολής περιεχομένων του προχείρου σε έναν απομακρυσμένο διακομιστή. Επισημάνθηκε ως Android.Spy.SpinOk, αυτό το στοιχείο διανέμεται ως κιτ ανάπτυξης λογισμικού μάρκετινγκ (SDK), το οποίο οι προγραμματιστές μπορούν να ενσωματώσουν σε διάφορες εφαρμογές και παιχνίδια, συμπεριλαμβανομένων αυτών που βρίσκονται στο Google Play.

Με την πρώτη ματιά, η μονάδα SpinOk έχει σχεδιαστεί για να διατηρεί τη συμμετοχή των χρηστών σε εφαρμογές μέσω της ενσωμάτωσης μίνι παιχνιδιών, συστημάτων εργασιών και υποτιθέμενων βραβείων και ανταμοιβών. Όταν εκκινηθεί, αυτό το SDK trojan δημιουργεί μια σύνδεση με έναν διακομιστή εντολών και ελέγχου (C&C) μεταδίδοντας ένα αίτημα που περιέχει ένα ευρύ φάσμα τεχνικών λεπτομερειών σχετικά με τη μολυσμένη συσκευή.

Αυτό περιλαμβάνει δεδομένα από αισθητήρες όπως το γυροσκόπιο και το μαγνητόμετρο, τα οποία μπορούν να χρησιμοποιηθούν για την ανίχνευση περιβαλλόντων εξομοιωτών και την προσαρμογή των λειτουργικών διαδικασιών της μονάδας ώστε να αποφευχθεί ο εντοπισμός από τους ερευνητές ασφαλείας. Επιπλέον, παρακάμπτει τις ρυθμίσεις διακομιστή μεσολάβησης της συσκευής για να κρύψει τις συνδέσεις δικτύου κατά την ανάλυση. Σε απάντηση, η λειτουργική μονάδα λαμβάνει μια λίστα διευθύνσεων URL από τον διακομιστή, την οποία στη συνέχεια ανοίγει στο WebView για να εμφανίσει διαφημιστικά banner.

Δυνατότητες SpinOK

Το trojan SDK επεκτείνει τις δυνατότητες του κώδικα JavaScript που εκτελείται σε φορτωμένες ιστοσελίδες με διαφημίσεις. Εισάγει διάφορες λειτουργίες σε αυτόν τον κώδικα, όπως η δυνατότητα:

• Αποκτήστε μια λίστα αρχείων μέσα σε καθορισμένους καταλόγους.
• Επικυρώστε την παρουσία συγκεκριμένων αρχείων ή καταλόγων στη συσκευή.
• Ανάκτηση αρχείου από τη συσκευή.
• Αντιγράψτε ή αντικαταστήστε τα περιεχόμενα του προχείρου.

Κατά συνέπεια, οι χειριστές αυτής της μονάδας trojan μπορούν να έχουν πρόσβαση σε εμπιστευτικές πληροφορίες και αρχεία από τη συσκευή ενός χρήστη, ιδιαίτερα σε αρχεία που μπορούν να προσεγγιστούν από εφαρμογές που περιέχουν Android.Spy.SpinOk. Για να επιτευχθεί αυτό, οι εισβολείς θα πρέπει να εισαγάγουν τον αντίστοιχο κώδικα στη σελίδα HTML του διαφημιστικού banner.

Οι ερευνητές ασφαλείας ανακάλυψαν αυτήν τη μονάδα trojan και εντόπισαν πολλαπλές παραλλαγές της σε διάφορες εφαρμογές που διανέμονται μέσω του Google Play. Ενώ ορισμένες από αυτές τις εφαρμογές συνεχίζουν να διαθέτουν το κακόβουλο SDK, άλλες το είχαν μόνο σε συγκεκριμένες εκδόσεις ή έχουν αφαιρεθεί εντελώς από τον κατάλογο. Οι αναλυτές μας για κακόβουλο λογισμικό εντόπισαν την παρουσία του σε 101 εφαρμογές με συνολικά τουλάχιστον 421.290.300 λήψεις. Κατά συνέπεια, εκατοντάδες εκατομμύρια κάτοχοι συσκευών Android εκτίθενται στον κίνδυνο να πέσουν θύματα κυβερνοκατασκοπείας. Ο Doctor Web ειδοποίησε αμέσως την Google σχετικά με αυτήν την ακάλυπτη απειλή.