SpinOK Malware téléchargé plus de 400 millions de fois, dans plus de 100 applications compromises

Les chercheurs en sécurité ont fait une découverte importante concernant un composant logiciel Android qui possède des capacités de logiciel espion. Sa fonction principale est de collecter des informations sur les fichiers stockés sur les appareils et de faciliter leur transmission à des individus malveillants. De plus, il possède la capacité de remplacer et de télécharger le contenu du presse-papiers sur un serveur distant. Marqué comme Android.Spy.SpinOk, ce composant est distribué sous la forme d'un kit de développement logiciel (SDK) marketing, que les développeurs peuvent intégrer dans diverses applications et jeux, y compris ceux trouvés sur Google Play.

À première vue, le module SpinOk est conçu pour soutenir l'engagement des utilisateurs dans les applications grâce à l'incorporation de mini-jeux, de systèmes de tâches et de prétendus prix et récompenses. Lorsqu'il est lancé, ce cheval de Troie SDK établit une connexion avec un serveur de commande et de contrôle (C&C) en transmettant une requête contenant une vaste gamme de détails techniques sur l'appareil infecté.

Cela inclut les données de capteurs tels que le gyroscope et le magnétomètre, qui peuvent être utilisés pour détecter les environnements d'émulation et adapter les procédures opérationnelles du module pour éviter la détection par les chercheurs en sécurité. De plus, il contourne les paramètres de proxy de l'appareil pour masquer les connexions réseau pendant l'analyse. En réponse, le module reçoit une liste d'URL du serveur, qu'il ouvre ensuite dans WebView pour afficher des bannières publicitaires.

Capacités SpinOK

Le cheval de Troie SDK étend les capacités du code JavaScript exécuté sur des pages Web chargées contenant des publicités. Il introduit diverses fonctionnalités dans ce code, telles que la possibilité de :

• Acquérir une liste de fichiers dans les répertoires spécifiés.
• Validez la présence de fichiers ou de répertoires spécifiques sur l'appareil.
• Récupérer un fichier de l'appareil.
• Copiez ou remplacez le contenu du presse-papiers.

Par conséquent, les opérateurs de ce module cheval de Troie peuvent accéder à des informations et fichiers confidentiels à partir de l'appareil d'un utilisateur, en particulier des fichiers accessibles par des applications contenant Android.Spy.SpinOk. Pour ce faire, les attaquants devraient insérer le code correspondant dans la page HTML de la bannière publicitaire.

Les chercheurs en sécurité ont découvert ce module de cheval de Troie et en ont identifié plusieurs variantes dans plusieurs applications distribuées via Google Play. Alors que certaines de ces applications continuent d'héberger le SDK malveillant, d'autres ne l'avaient que dans des versions spécifiques ou ont été complètement supprimées du catalogue. Nos analystes de logiciels malveillants ont détecté sa présence dans 101 applications avec un total combiné d'au moins 421 290 300 téléchargements. Par conséquent, des centaines de millions de propriétaires d'appareils Android sont exposés au risque d'être victimes de cyberespionnage. Doctor Web a rapidement informé Google de cette menace découverte.