SpinOK 恶意软件在 100 多个受感染的应用程序中下载了超过 4 亿次
安全研究人员对具有间谍软件功能的 Android 软件组件有了重大发现。它的主要功能是收集有关存储在设备上的文件的信息,并促进将其传输给恶意个人。此外,它还具有替换剪贴板内容并将其上传到远程服务器的能力。该组件标记为 Android.Spy.SpinOk,作为营销软件开发工具包 (SDK) 分发,开发人员可以将其集成到各种应用程序和游戏中,包括 Google Play 上的应用程序和游戏。
乍一看,SpinOk 模块旨在通过结合迷你游戏、任务系统以及所谓的奖品和奖励来维持用户对应用程序的参与。启动时,此木马 SDK 通过传输包含有关受感染设备的广泛技术细节的请求,与命令和控制 (C&C) 服务器建立连接。
这包括来自陀螺仪和磁力计等传感器的数据,这些数据可用于检测仿真器环境并调整模块的操作程序以避免被安全研究人员检测到。此外,它绕过设备代理设置以在分析期间隐藏网络连接。作为响应,该模块从服务器接收 URL 列表,随后在 WebView 中打开该列表以展示广告横幅。
SpinOK 能力
木马 SDK 扩展了在加载的带有广告的网页上执行的 JavaScript 代码的功能。它为此代码引入了各种功能,例如能够:
- 获取指定目录中的文件列表。
- 验证设备上是否存在特定文件或目录。
- 从设备中检索文件。
- 复制或替换剪贴板的内容。
因此,该木马模块的操作员可以从用户设备访问机密信息和文件,尤其是包含 Android.Spy.SpinOk 的应用程序可以访问的文件。为此,攻击者需要在广告横幅的 HTML 页面中插入相应的代码。
安全研究人员发现了这个木马模块,并在通过 Google Play 分发的几个应用程序中发现了它的多个变体。虽然其中一些应用程序继续包含恶意 SDK,但其他应用程序仅在特定版本中存在或已从目录中完全删除。我们的恶意软件分析师在 101 个应用程序中检测到它的存在,总下载量至少为 421,290,300 次。因此,数亿 Android 设备所有者面临成为网络间谍活动受害者的风险。 Doctor Web 立即将这一未发现的威胁通知了 Google。
