SpinOk Mobile Malware

Изследователите на киберсигурността са разкрили заплашителен софтуерен модул, насочен към устройства с Android, оборудвани с възможности за шпиониране. Този модул се проследява като SpinOk и работи чрез събиране на чувствителни данни, отнасящи се до файлове, съхранявани на засегнатите устройства, и притежава способността да предава тази информация на злонамерени субекти. Освен това, той може да заменя и качва съдържание, копирано в клипборда на устройството, препращайки го към отдалечен сървър, контролиран от нападателите.

Зловреден софтуер SpinOk е маскиран като маркетингов комплект за разработка на софтуер (SDK). Като такъв, той може да бъде включен от разработчиците в различни приложения и игри, включително тези, които са лесно достъпни в Google Play Store. Този метод на разпространение позволява на заразения с шпионски софтуер модул потенциално да проникне в широк набор от софтуер за Android, което представлява значителна заплаха за поверителността и сигурността на потребителите. Наистина, според експертите по infosec, заразените със SpinOk приложения за Android са изтеглени и инсталирани над 421 милиона пъти.

Зловреден софтуер SpinOk беше намерен инжектиран в множество приложения в Google Play Store

Троянският модул SpinOk, заедно с няколко негови вариации, е идентифициран в множество приложения, разпространявани чрез Google Play Store. Докато някои от тези приложения все още съдържат компрометирания комплект за разработка на софтуер (SDK), други го имаха в конкретни версии или бяха напълно премахнати от магазина. Въпреки това беше открито, че този мобилен злонамерен софтуер присъства в общо 101 различни приложения, които общо са натрупали над 421 000 000 изтегляния. В резултат на това значителен брой собственици на устройства с Android, възлизащи на стотици милиони, са потенциално изложени на риск да станат жертва на кибершпионаж.

Сред приложенията, за които е установено, че носят шпионския софтуер SpinOk с най-много изтегляния, са:

• Видео редактор Noizz с минимум 100 милиона инсталации.
• Приложение за прехвърляне и споделяне на файлове, Zapya, с още 100 милиона инсталации.
• VFly (видео редактор и производител), MVBit (MV видео състояние създател) и Biudo (видео редактор и производител) всеки с минимум 50 милиона инсталации.

Трябва да се отбележи, че зловредният софтуер SpinOk присъства в няколко версии на Zapya, но е премахнат с версия 6.4.1 на приложението.

Наличието на този троянски модул в тези широко използвани приложения представлява значителна заплаха за поверителността и сигурността на потребителите. Необходими са незабавни действия за смекчаване на потенциалните рискове, свързани с тези компрометирани приложения.

Мобилният злонамерен софтуер SpinOk събира широка гама от чувствителни данни под прикритието на полезни функции

Модулът SpinOk се представя като ангажиращ инструмент в рамките на приложения, предлагащ на потребителите мини-игри, системи със задачи и привлекателността на наградите и наградите. Въпреки това, при активиране, този комплект за разработка на троянски софтуер (SDK) установява връзка със сървър за командване и управление (C&C) и предава изчерпателен набор от технически подробности за заразеното устройство. Тези подробности включват сензорни данни от компоненти като жироскопа и магнитометъра, които могат да се използват за идентифициране на емулаторни среди и коригиране на поведението на модула, за да се избегне откриването от изследователи по сигурността. За да замъгли допълнително своите дейности по време на анализ, троянският модул пренебрегва прокси настройките на устройството, което му позволява да прикрива мрежовите връзки.

Чрез комуникацията си с C&C сървъра, модулът получава списък с URL адреси, които след това зарежда в WebView за показване на рекламни банери. Едновременно с това този троянски SDK подобрява възможностите на повреден код на JavaScript, изпълняван в рамките на тези заредени уеб страници, като въвежда набор от функционалности в процеса. Те включват възможност за достъп и изброяване на файлове в определени директории, проверка за съществуването на конкретни файлове или директории на устройството, извличане на файлове от устройството и манипулиране на съдържанието на клипборда.

Тези добавени възможности предоставят на операторите на троянския модул средства за получаване на поверителна информация и файлове от устройството на потребителя. Например, приложения, включващи троянския кон SpinOk, могат да бъдат използвани за манипулиране на файловете, достъпни за тях. Нападателите постигат това, като вмъкват необходимия код в HTML страниците на рекламните банери, което им позволява да извличат чувствителни данни и файлове от неволни потребители.