SpinOK マルウェア、100 を超える侵害アプリで 4 億回以上ダウンロード

セキュリティ研究者は、スパイウェア機能を持つ Android ソフトウェア コンポーネントに関する重要な発見をしました。その主な機能は、デバイスに保存されているファイルに関する情報を収集し、悪意のある個人への送信を容易にすることです。さらに、クリップボードの内容を置き換えてリモート サーバーにアップロードする機能もあります。 Android.Spy.SpinOk としてフラグが設定されているこのコンポーネントは、マーケティング ソフトウェア開発キット (SDK) として配布されており、開発者はこれを、Google Play にあるものを含むさまざまなアプリケーションやゲームに統合できます。

一見すると、SpinOk モジュールは、ミニゲーム、タスク システム、賞品と称する賞品の組み込みを通じて、ユーザーのアプリへの関与を維持するように設計されています。このトロイの木馬 SDK は、開始されると、感染したデバイスに関する広範な技術的詳細を含むリクエストを送信することにより、コマンド アンド コントロール (C&C) サーバーとの接続を確立します。

これには、ジャイロスコープや磁力計などのセンサーからのデータが含まれており、これらを使用してエミュレータ環境を検出し、セキュリティ研究者による検出を回避するためにモジュールの動作手順を調整できます。さらに、分析中にネットワーク接続を隠すためにデバイスのプロキシ設定をバイパスします。これに応答して、モジュールはサーバーから URL のリストを受け取り、その後、そのリストを WebView で開いて広告バナーを表示します。

SpinOK の機能

トロイの木馬 SDK は、広告を掲載する読み込まれた Web ページ上で実行される JavaScript コードの機能を拡張します。このコードには、次のようなさまざまな機能が導入されています。

• 指定したディレクトリ内のファイルの一覧を取得します。
• デバイス上の特定のファイルまたはディレクトリの存在を検証します。
• デバイスからファイルを取得します。
• クリップボードの内容をコピーまたは置き換えます。

その結果、このトロイの木馬モジュールのオペレーターは、ユーザーのデバイスから機密情報やファイル、特に Android.Spy.SpinOk を含むアプリからアクセスできるファイルにアクセスできます。これを実現するには、攻撃者は広告バナーの HTML ページに対応するコードを挿入する必要があります。

セキュリティ研究者はこのトロイの木馬モジュールを発見し、Google Play を通じて配布されたいくつかのアプリ内でその複数のバリエーションを特定しました。これらのアプリの中には、引き続き悪意のある SDK を保持しているものもありますが、特定のバージョンにのみこの SDK が存在していたり、カタログから完全に削除されているアプリもあります。当社のマルウェア アナリストは、合計少なくとも 4 億 2,129 万 300 件のダウンロードがある 101 のアプリにその存在を検出しました。その結果、何億もの Android デバイス所有者がサイバースパイの犠牲になるリスクにさらされています。 Doctor Web は、この発見された脅威について直ちに Google に通知しました。