Вредоносное ПО SpinOK загружено более 400 миллионов раз в более чем 100 скомпрометированных приложениях

Исследователи безопасности сделали важный вывод о программном компоненте Android, обладающем возможностями шпионского ПО. Его основная функция — собирать информацию о файлах, хранящихся на устройствах, и способствовать их передаче злоумышленникам. Кроме того, он имеет возможность заменять и загружать содержимое буфера обмена на удаленный сервер. Этот компонент, помеченный как Android.Spy.SpinOk, распространяется как комплект для разработки маркетингового программного обеспечения (SDK), который разработчики могут интегрировать в различные приложения и игры, в том числе в Google Play.

На первый взгляд, модуль SpinOk предназначен для поддержания активности пользователей в приложениях за счет включения мини-игр, систем задач и предполагаемых призов и вознаграждений. При запуске этот троянский SDK устанавливает соединение с сервером управления и контроля (C&C), отправляя запрос, содержащий широкий спектр технических сведений о зараженном устройстве.

Сюда входят данные от датчиков, таких как гироскоп и магнитометр, которые можно использовать для обнаружения среды эмулятора и адаптации рабочих процедур модуля, чтобы избежать обнаружения исследователями безопасности. Кроме того, он обходит настройки прокси-сервера устройства, чтобы скрыть сетевые подключения во время анализа. В ответ модуль получает от сервера список URL-адресов, который впоследствии открывает в WebView для показа рекламных баннеров.

Возможности СпинОК

Троянец SDK расширяет возможности JavaScript-кода, исполняемого на загружаемых веб-страницах с рекламой. Он вводит в этот код различные функции, такие как возможность:

• Получить список файлов в указанных каталогах.
• Проверьте наличие определенных файлов или каталогов на устройстве.
• Получить файл с устройства.
• Скопируйте или замените содержимое буфера обмена.

Следовательно, операторы этого троянского модуля могут получить доступ к конфиденциальной информации и файлам с устройства пользователя, в частности к файлам, к которым могут получить доступ приложения, содержащие Android.Spy.SpinOk. Для этого злоумышленникам потребуется вставить соответствующий код в HTML-страницу рекламного баннера.

Исследователи безопасности обнаружили этот троянский модуль и выявили несколько его вариантов в нескольких приложениях, распространяемых через Google Play. В то время как некоторые из этих приложений продолжают содержать вредоносный SDK, другие имели его только в определенных версиях или были полностью удалены из каталога. Наши аналитики вредоносного ПО обнаружили его присутствие в 101 приложении с общим количеством загрузок не менее 421 290 300. Следовательно, сотни миллионов владельцев Android-устройств подвергаются риску стать жертвами кибершпионажа. Компания «Доктор Веб» оперативно уведомила Google об обнаруженной угрозе.