SpinOK Malware baixado mais de 400 milhões de vezes, em mais de 100 aplicativos comprometidos

Os pesquisadores de segurança fizeram uma descoberta significativa em relação a um componente de software Android que possui recursos de spyware. Sua função principal é coletar informações sobre arquivos armazenados em dispositivos e facilitar sua transmissão para indivíduos mal-intencionados. Além disso, possui a capacidade de substituir e carregar o conteúdo da área de transferência para um servidor remoto. Sinalizado como Android.Spy.SpinOk, este componente é distribuído como um kit de desenvolvimento de software de marketing (SDK), que os desenvolvedores podem integrar em vários aplicativos e jogos, incluindo aqueles encontrados no Google Play.

À primeira vista, o módulo SpinOk foi projetado para manter o envolvimento dos usuários em aplicativos por meio da incorporação de minijogos, sistemas de tarefas e supostos prêmios e recompensas. Quando iniciado, este trojan SDK estabelece uma conexão com um servidor de comando e controle (C&C) transmitindo uma solicitação contendo uma extensa gama de detalhes técnicos sobre o dispositivo infectado.

Isso inclui dados de sensores como o giroscópio e o magnetômetro, que podem ser empregados para detectar ambientes emuladores e adaptar os procedimentos operacionais do módulo para evitar a detecção por pesquisadores de segurança. Além disso, ele ignora as configurações de proxy do dispositivo para ocultar as conexões de rede durante a análise. Em resposta, o módulo recebe uma lista de URLs do servidor, que posteriormente abre no WebView para exibir banners publicitários.

Recursos do SpinOK

O trojan SDK expande os recursos do código JavaScript executado em páginas da Web carregadas com anúncios. Ele apresenta várias funcionalidades a este código, como a capacidade de:

• Adquira uma lista de arquivos dentro de diretórios especificados.
• Valide a presença de arquivos ou diretórios específicos no dispositivo.
• Recupere um arquivo do dispositivo.
• Copie ou substitua o conteúdo da área de transferência.

Consequentemente, os operadores deste módulo de trojan podem acessar informações e arquivos confidenciais do dispositivo do usuário, particularmente arquivos que podem ser acessados por aplicativos que contêm o Android.Spy.SpinOk. Para conseguir isso, os invasores precisariam inserir o código correspondente na página HTML do banner de anúncio.

Pesquisadores de segurança descobriram esse módulo de trojan e identificaram várias variações dele em vários aplicativos distribuídos pelo Google Play. Enquanto alguns desses aplicativos continuam a abrigar o SDK malicioso, outros o possuíam apenas em versões específicas ou foram completamente removidos do catálogo. Nossos analistas de malware detectaram sua presença em 101 aplicativos com um total combinado de pelo menos 421.290.300 downloads. Consequentemente, centenas de milhões de proprietários de dispositivos Android estão expostos ao risco de serem vítimas de espionagem cibernética. O Doctor Web notificou prontamente o Google sobre essa ameaça descoberta.