SpinOk Mobile البرامج الضارة

كشف باحثو الأمن السيبراني النقاب عن وحدة برمجية مهددة تستهدف أجهزة Android المزودة بقدرات برامج التجسس. يتم تتبع هذه الوحدة باسم SpinOk وتعمل من خلال جمع البيانات الحساسة المتعلقة بالملفات المخزنة على الأجهزة المتأثرة وتمتلك القدرة على نقل هذه المعلومات إلى الكيانات ذات العقلية الشريرة. بالإضافة إلى ذلك ، يمكنه استبدال وتحميل المحتويات المنسوخة إلى حافظة الجهاز ، وإعادة توجيهها إلى خادم بعيد يتحكم فيه المهاجمون.

تم إخفاء SpinOk Malware في صورة مجموعة أدوات تطوير برامج تسويقية (SDK). على هذا النحو ، يمكن للمطورين دمجها في العديد من التطبيقات والألعاب ، بما في ذلك تلك التي يمكن الوصول إليها بسهولة على متجر Google Play. تسمح طريقة التوزيع هذه للوحدة المصابة ببرامج التجسس بالتسلل المحتمل إلى مجموعة واسعة من برامج Android ، مما يشكل تهديدًا كبيرًا لخصوصية المستخدم وأمانه. في الواقع ، وفقًا لخبراء إنفوسيك ، تم تنزيل تطبيقات Android المصابة بـ SpinOk وتثبيتها أكثر من 421 مليون مرة.

تم العثور على SpinOk Malware محقنة في العديد من التطبيقات على متجر Google Play

تم تحديد وحدة طروادة SpinOk ، جنبًا إلى جنب مع العديد من الأشكال المختلفة لها ، في العديد من التطبيقات الموزعة من خلال متجر Google Play. في حين أن بعض هذه التطبيقات لا تزال تحتوي على مجموعة أدوات تطوير البرامج (SDK) المخترقة ، فإن البعض الآخر كان موجودًا في إصدارات معينة أو تمت إزالته بالكامل من المتجر. ومع ذلك ، فقد تم اكتشاف أن هذه البرامج الضارة للأجهزة المحمولة كانت موجودة في إجمالي 101 تطبيقًا مختلفًا ، والتي جمعت مجتمعة أكثر من 421.000.000 عملية تنزيل. نتيجة لذلك ، من المحتمل أن يكون عدد كبير من مالكي أجهزة Android ، البالغ عددهم مئات الملايين ، عرضة لخطر الوقوع ضحية للتجسس الإلكتروني.

من بين التطبيقات التي تحمل برامج التجسس SpinOk الأكثر تنزيلًا:

• محرر فيديو Noizz بحد أدنى 100 مليون عملية تثبيت.
• تطبيق نقل الملفات ومشاركتها Zapya مع 100 مليون عملية تثبيت أخرى.
• VFly (محرر وصانع الفيديو) ، MVBit (صانع حالة الفيديو MV) ، و Biudo (محرر وصانع الفيديو) لكل منها ما لا يقل عن 50 مليون عملية تثبيت.

وتجدر الإشارة إلى أن SpinOk Malware كان موجودًا في عدة إصدارات من Zapya ولكن تمت إزالته باستخدام الإصدار 6.4.1 من التطبيق.

يشكل وجود وحدة طروادة هذه داخل هذه التطبيقات المستخدمة على نطاق واسع تهديدًا كبيرًا لخصوصية وأمن المستخدمين. مطلوب إجراء فوري للتخفيف من المخاطر المحتملة المرتبطة بهذه التطبيقات المخترقة.

يجمع برنامج SpinOk Mobile Malware مجموعة واسعة من البيانات الحساسة تحت ستار الوظائف المفيدة

تقدم وحدة SpinOk نفسها كأداة تفاعلية داخل التطبيقات ، وتقدم للمستخدمين ألعابًا مصغرة وأنظمة مهام وجاذبية الجوائز والمكافآت. ومع ذلك ، عند التنشيط ، تنشئ Trojan Software Development Kit (SDK) اتصالاً بخادم الأوامر والتحكم (C&C) وتنقل مجموعة شاملة من التفاصيل الفنية حول الجهاز المصاب. تتضمن هذه التفاصيل بيانات المستشعر من مكونات مثل الجيروسكوب ومقياس المغنطيسية ، والتي يمكن استخدامها لتحديد بيئات المحاكي وتعديل سلوك الوحدة لتفادي اكتشاف الباحثين الأمنيين. لمزيد من التعتيم على أنشطتها أثناء التحليل ، تتجاهل وحدة طروادة إعدادات الخادم الوكيل للجهاز ، مما يمكنها من إخفاء اتصالات الشبكة.

من خلال اتصالها بخادم C&C ، تتلقى الوحدة قائمة بعناوين URL ، والتي يتم تحميلها بعد ذلك في WebView لعرض لافتات إعلانية. في الوقت نفسه ، تعمل Trojan SDK على تحسين قدرات شفرة JavaScript التالفة التي يتم تنفيذها داخل صفحات الويب المحملة هذه ، مما يوفر مجموعة من الوظائف في هذه العملية. وتشمل هذه القدرة على الوصول إلى الملفات وتعدادها في أدلة محددة ، والتحقق من وجود ملفات أو أدلة معينة على الجهاز ، واسترداد الملفات من الجهاز ، ومعالجة محتويات الحافظة.

توفر هذه الإمكانات المضافة لمشغلي وحدة حصان طروادة الوسائل للحصول على المعلومات والملفات السرية من جهاز المستخدم. على سبيل المثال ، يمكن الاستفادة من التطبيقات التي تتضمن SpinOk Trojan لمعالجة الملفات التي يمكن الوصول إليها. ينجز المهاجمون ذلك عن طريق إدخال الكود الضروري في صفحات HTML من لافتات الإعلانات ، مما يمكنهم من استخراج البيانات والملفات الحساسة من المستخدمين غير الراغبين.