SpinOK 惡意軟件在 100 多個受感染的應用程序中下載了超過 4 億次
安全研究人員對具有間諜軟件功能的 Android 軟件組件有了重大發現。它的主要功能是收集有關存儲在設備上的文件的信息,並促進將其傳輸給惡意個人。此外,它還具有替換剪貼板內容並將其上傳到遠程服務器的能力。該組件標記為 Android.Spy.SpinOk,作為營銷軟件開發工具包 (SDK) 分發,開發人員可以將其集成到各種應用程序和遊戲中,包括 Google Play 上的應用程序和遊戲。
乍一看,SpinOk 模塊旨在通過結合迷你游戲、任務系統以及所謂的獎品和獎勵來維持用戶對應用程序的參與。啟動時,此木馬 SDK 通過傳輸包含有關受感染設備的廣泛技術細節的請求,與命令和控制 (C&C) 服務器建立連接。
這包括來自陀螺儀和磁力計等傳感器的數據,這些數據可用於檢測仿真器環境並調整模塊的操作程序以避免被安全研究人員檢測到。此外,它繞過設備代理設置以在分析期間隱藏網絡連接。作為響應,該模塊從服務器接收 URL 列表,隨後在 WebView 中打開該列表以展示廣告橫幅。
SpinOK 能力
木馬 SDK 擴展了在加載的帶有廣告的網頁上執行的 JavaScript 代碼的功能。它為此代碼引入了各種功能,例如能夠:
- 獲取指定目錄中的文件列表。
- 驗證設備上是否存在特定文件或目錄。
- 從設備中檢索文件。
- 複製或替換剪貼板的內容。
因此,該木馬模塊的操作員可以從用戶設備訪問機密信息和文件,尤其是包含 Android.Spy.SpinOk 的應用程序可以訪問的文件。為此,攻擊者需要在廣告橫幅的 HTML 頁面中插入相應的代碼。
安全研究人員發現了這個木馬模塊,並在通過 Google Play 分發的幾個應用程序中發現了它的多個變體。雖然其中一些應用程序繼續包含惡意 SDK,但其他應用程序僅在特定版本中存在或已從目錄中完全刪除。我們的惡意軟件分析師在 101 個應用程序中檢測到它的存在,總下載量至少為 421,290,300 次。因此,數億 Android 設備所有者面臨成為網絡間諜活動受害者的風險。 Doctor Web 立即將這一未發現的威脅通知了 Google。