Malware SpinOK scaricato oltre 400 milioni di volte, in oltre 100 app compromesse

I ricercatori di sicurezza hanno fatto una scoperta significativa riguardo a un componente software Android che possiede capacità spyware. La sua funzione principale è raccogliere informazioni sui file archiviati sui dispositivi e facilitarne la trasmissione a individui malintenzionati. Inoltre, possiede la capacità di sostituire e caricare i contenuti degli appunti su un server remoto. Contrassegnato come Android.Spy.SpinOk, questo componente è distribuito come kit di sviluppo software di marketing (SDK), che gli sviluppatori possono integrare in varie applicazioni e giochi, inclusi quelli che si trovano su Google Play.

A prima vista, il modulo SpinOk è progettato per sostenere il coinvolgimento degli utenti nelle app attraverso l'incorporazione di mini-giochi, sistemi di attività e presunti premi e ricompense. Una volta avviato, questo trojan SDK stabilisce una connessione con un server di comando e controllo (C&C) trasmettendo una richiesta contenente un'ampia gamma di dettagli tecnici sul dispositivo infetto.

Ciò include i dati provenienti da sensori come il giroscopio e il magnetometro, che possono essere utilizzati per rilevare gli ambienti dell'emulatore e adattare le procedure operative del modulo per evitare il rilevamento da parte dei ricercatori di sicurezza. Inoltre, ignora le impostazioni proxy del dispositivo per nascondere le connessioni di rete durante l'analisi. In risposta, il modulo riceve un elenco di URL dal server, che successivamente apre in WebView per mostrare banner pubblicitari.

Funzionalità SpinOK

L'SDK trojan espande le capacità del codice JavaScript eseguito su pagine Web caricate con annunci pubblicitari. Introduce varie funzionalità a questo codice, come la possibilità di:

• Acquisire un elenco di file all'interno di directory specificate.
• Convalida la presenza di file o directory specifici sul dispositivo.
• Recuperare un file dal dispositivo.
• Copia o sostituisci il contenuto degli appunti.

Di conseguenza, gli operatori di questo modulo trojan possono accedere a informazioni riservate e file dal dispositivo di un utente, in particolare file che possono essere raggiunti da app contenenti Android.Spy.SpinOk. Per fare ciò, gli aggressori dovrebbero inserire il codice corrispondente nella pagina HTML del banner pubblicitario.

I ricercatori di sicurezza hanno scoperto questo modulo trojan e ne hanno identificato molteplici varianti all'interno di diverse app distribuite tramite Google Play. Mentre alcune di queste app continuano a ospitare l'SDK dannoso, altre lo avevano solo in versioni specifiche o sono state completamente rimosse dal catalogo. I nostri analisti di malware ne hanno rilevato la presenza in 101 app con un totale combinato di almeno 421.290.300 download. Di conseguenza, centinaia di milioni di possessori di dispositivi Android sono esposti al rischio di cadere vittime dello spionaggio informatico. Doctor Web ha prontamente informato Google di questa minaccia scoperta.