SpinOK Malware pobrano ponad 400 milionów razy w ponad 100 zainfekowanych aplikacjach

android malware

Analitycy bezpieczeństwa dokonali istotnego odkrycia dotyczącego składnika oprogramowania Android, który posiada funkcje spyware. Jego podstawową funkcją jest zbieranie informacji o plikach przechowywanych na urządzeniach i ułatwianie ich przesyłania szkodliwym osobom. Ponadto posiada możliwość wymiany i przesyłania zawartości schowka na zdalny serwer. Ten komponent, oznaczony jako Android.Spy.SpinOk, jest dystrybuowany jako zestaw do tworzenia oprogramowania marketingowego (SDK), który programiści mogą zintegrować z różnymi aplikacjami i grami, w tym z Google Play.

Na pierwszy rzut oka moduł SpinOk ma na celu utrzymanie zaangażowania użytkowników w aplikacje poprzez włączenie mini-gier, systemów zadań oraz rzekomych nagród i wyróżnień. Po zainicjowaniu ten pakiet SDK trojana nawiązuje połączenie z serwerem dowodzenia i kontroli (C&C), przesyłając żądanie zawierające szeroki zakres szczegółów technicznych dotyczących zainfekowanego urządzenia.

Obejmuje to dane z czujników, takich jak żyroskop i magnetometr, które można wykorzystać do wykrywania środowisk emulatorów i dostosowywania procedur operacyjnych modułu, aby uniknąć wykrycia przez badaczy bezpieczeństwa. Ponadto pomija ustawienia proxy urządzenia, aby ukryć połączenia sieciowe podczas analizy. W odpowiedzi moduł otrzymuje z serwera listę adresów URL, które następnie otwiera w WebView w celu wyświetlenia banerów reklamowych.

Możliwości SpinOK

Trojan SDK rozszerza możliwości kodu JavaScript wykonywanego na ładowanych stronach internetowych zawierających reklamy. Wprowadza do tego kodu różne funkcjonalności, takie jak możliwość:

  • Uzyskaj listę plików w określonych katalogach.
  • Sprawdź obecność określonych plików lub katalogów na urządzeniu.
  • Pobierz plik z urządzenia.
  • Skopiuj lub zastąp zawartość schowka.

W związku z tym operatorzy tego modułu trojańskiego mogą uzyskiwać dostęp do poufnych informacji i plików z urządzenia użytkownika, w szczególności do plików, do których mogą uzyskać dostęp aplikacje zawierające Android.Spy.SpinOk. Aby to osiągnąć, osoby atakujące musiałyby wstawić odpowiedni kod na stronie HTML banera reklamowego.

Analitycy bezpieczeństwa odkryli ten moduł trojana i zidentyfikowali wiele jego odmian w kilku aplikacjach dystrybuowanych za pośrednictwem Google Play. Podczas gdy niektóre z tych aplikacji nadal przechowują szkodliwy pakiet SDK, inne miały go tylko w określonych wersjach lub zostały całkowicie usunięte z katalogu. Nasi analitycy złośliwego oprogramowania wykryli jego obecność w 101 aplikacjach z łączną liczbą co najmniej 421 290 300 pobrań. W rezultacie setki milionów posiadaczy urządzeń z Androidem są narażone na ryzyko stania się ofiarą cyberszpiegostwa. Doctor Web niezwłocznie powiadomił Google o tym odkrytym zagrożeniu.

June 2, 2023
Ładowanie...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.