A SpinOK kártevőket több mint 400 millió alkalommal töltötték le, több mint 100 feltört alkalmazásban
A biztonsági kutatók jelentős megállapítást tettek egy spyware képességekkel rendelkező Android szoftverkomponenssel kapcsolatban. Elsődleges feladata, hogy információkat gyűjtsön az eszközökön tárolt fájlokról, és megkönnyítse azok továbbítását a rosszindulatú személyekhez. Ezenkívül képes cserélni és feltölteni a vágólap tartalmát egy távoli szerverre. Ezt az Android.Spy.SpinOk néven megjelölt összetevőt marketingszoftver-fejlesztő készletként (SDK) terjesztik, amelyet a fejlesztők különféle alkalmazásokba és játékokba integrálhatnak, beleértve a Google Playen találhatóakat is.
Első pillantásra a SpinOk modult úgy tervezték, hogy fenntartsa a felhasználók elkötelezettségét az alkalmazásokban minijátékok, feladatrendszerek, valamint állítólagos nyeremények és jutalmak beépítésével. Amikor elindítják, ez a trójai SDK kapcsolatot létesít egy parancs- és vezérlési (C&C) szerverrel a fertőzött eszközzel kapcsolatos műszaki részletek széles skáláját tartalmazó kérés továbbításával.
Ez magában foglalja az olyan érzékelőktől származó adatokat, mint a giroszkóp és a magnetométer, amelyek felhasználhatók az emulátor környezetek észlelésére és a modul működési eljárásainak adaptálására, hogy elkerüljék a biztonsági kutatók észlelését. Ezenkívül megkerüli az eszköz proxy beállításait, hogy elrejtse a hálózati kapcsolatokat az elemzés során. Válaszul a modul egy URL-listát kap a szervertől, amelyet ezután megnyit a WebView-ban, hogy megjelenítse a reklámszalagokat.
SpinOK képességek
A trójai SDK kibővíti a hirdetéseket tartalmazó betöltött weboldalakon végrehajtott JavaScript-kód képességeit. Különféle funkciókat vezet be ehhez a kódhoz, például a következőkre:
- A megadott könyvtárakban található fájlok listájának beszerzése.
- Érvényesítse bizonyos fájlok vagy könyvtárak jelenlétét az eszközön.
- Fájl letöltése az eszközről.
- Másolja vagy cserélje ki a vágólap tartalmát.
Következésképpen ennek a trójai modulnak a kezelői bizalmas információkhoz és fájlokhoz férhetnek hozzá a felhasználó eszközéről, különösen azokhoz a fájlokhoz, amelyeket az Android.Spy.SpinOk-ot tartalmazó alkalmazások érhetnek el. Ennek eléréséhez a támadóknak megfelelő kódot kell beilleszteniük a reklámszalag HTML-oldalára.
Biztonsági kutatók felfedezték ezt a trójai modult, és több változatát is azonosították a Google Playen keresztül terjesztett alkalmazásokban. Míg ezen alkalmazások némelyike továbbra is tartalmazza a rosszindulatú SDK-t, mások csak bizonyos verziókban rendelkeztek, vagy teljesen eltávolították a katalógusból. Rosszindulatú programelemzőink 101 alkalmazásban észlelték a jelenlétét, összesen legalább 421 290 300 letöltést. Következésképpen Android-eszköz-tulajdonosok százmilliói vannak kitéve annak a veszélynek, hogy kiberkémkedés áldozatává váljanak. A Doctor Web azonnal értesítette a Google-t erről a feltárt fenyegetésről.