„SpinOK“ kenkėjiška programa atsisiųsta daugiau nei 400 milijonų kartų per 100 ir daugiau pažeistų programų

Saugumo tyrinėtojai padarė reikšmingą išvadą apie „Android“ programinės įrangos komponentą, turintį šnipinėjimo programų. Pagrindinė jo funkcija – rinkti informaciją apie įrenginiuose saugomus failus ir palengvinti jų perdavimą piktavaliams asmenims. Be to, ji turi galimybę pakeisti ir įkelti iškarpinės turinį į nuotolinį serverį. Šis komponentas, pažymėtas kaip Android.Spy.SpinOk, platinamas kaip rinkodaros programinės įrangos kūrimo rinkinys (SDK), kurį kūrėjai gali integruoti į įvairias programas ir žaidimus, įskaitant esančius „Google Play“.

Iš pirmo žvilgsnio „SpinOk“ modulis yra skirtas palaikyti vartotojų įsitraukimą į programas, įtraukiant mini žaidimus, užduočių sistemas ir tariamus prizus bei apdovanojimus. Kai inicijuojamas, šis Trojos arklys SDK užmezga ryšį su komandų ir valdymo (C&C) serveriu, perduodamas užklausą, kurioje yra daug techninės informacijos apie užkrėstą įrenginį.

Tai apima duomenis iš jutiklių, tokių kaip giroskopas ir magnetometras, kurie gali būti naudojami aptikti emuliatoriaus aplinką ir pritaikyti modulio veikimo procedūras, kad saugumo tyrinėtojai neaptiktų. Be to, jis apeina įrenginio tarpinio serverio nustatymus, kad analizės metu paslėptų tinklo ryšius. Reaguodamas į tai, modulis iš serverio gauna URL sąrašą, kurį vėliau atidaro WebView, kad būtų rodomos reklaminės juostos.

SpinOK galimybės

Trojos arklys SDK išplečia JavaScript kodo, vykdomo įkeltuose tinklalapiuose, kuriuose pateikiami skelbimai, galimybes. Jame pateikiamos įvairios šio kodo funkcijos, pvz., galimybė:

• Gaukite failų sąrašą nurodytuose kataloguose.
• Patvirtinkite konkrečių failų ar katalogų buvimą įrenginyje.
• Paimkite failą iš įrenginio.
• Nukopijuokite arba pakeiskite mainų srities turinį.

Todėl šio Trojos arklys modulio operatoriai gali pasiekti konfidencialią informaciją ir failus iš vartotojo įrenginio, ypač failus, kuriuos gali pasiekti programos, kuriose yra Android.Spy.SpinOk. Norėdami tai padaryti, užpuolikai turės įterpti atitinkamą kodą į reklaminės juostos HTML puslapį.

Saugumo tyrinėtojai atskleidė šį Trojos arklys modulį ir nustatė kelis jo variantus keliose programose, platinamose per „Google Play“. Nors kai kurios iš šių programų ir toliau turi kenkėjišką SDK, kitos turėjo tik tam tikras versijas arba buvo visiškai pašalintos iš katalogo. Mūsų kenkėjiškų programų analitikai aptiko jos buvimą 101 programoje ir iš viso atsiųsta mažiausiai 421 290 300 kartų. Todėl šimtams milijonų „Android“ įrenginių savininkų gresia pavojus tapti kibernetinio šnipinėjimo aukomis. „Doctor Web“ nedelsdama pranešė „Google“ apie šią neatskleistą grėsmę.