Programari maliciós SpinOk Mobile

Els investigadors de ciberseguretat han descobert un mòdul de programari amenaçador dirigit a dispositius Android equipats amb capacitats de programari espia. Aquest mòdul es fa un seguiment com a SpinOk i funciona recopilant dades sensibles relacionades amb fitxers emmagatzemats als dispositius afectats i té la capacitat de transmetre aquesta informació a entitats malignes. A més, pot substituir i carregar continguts copiats al porta-retalls del dispositiu, reenviant-los a un servidor remot controlat pels atacants.

El malware SpinOk s'ha disfressat com un kit de desenvolupament de programari (SDK) de màrqueting. Com a tal, els desenvolupadors poden incorporar-lo a diverses aplicacions i jocs, inclosos els de fàcil accés a Google Play Store. Aquest mètode de distribució permet que el mòdul infectat per programari espia s'infiltri potencialment en una àmplia gamma de programari d'Android, cosa que suposa una amenaça important per a la privadesa i la seguretat de l'usuari. De fet, segons els experts d'infosec, les aplicacions d'Android infectades amb SpinOk s'han descarregat i instal·lat més de 421 milions de vegades.

El programari maliciós SpinOk es va trobar injectat en nombroses aplicacions a Google Play Store

El mòdul de troià SpinOk, juntament amb diverses variacions, s'ha identificat dins de nombroses aplicacions distribuïdes a través de Google Play Store. Tot i que algunes d'aquestes aplicacions encara contenen el kit de desenvolupament de programari (SDK) compromès, d'altres el tenien present en versions específiques o s'han eliminat completament de la botiga. Tanmateix, s'ha descobert que aquest programari maliciós mòbil ha estat present en un total de 101 aplicacions diferents, que han acumulat col·lectivament més de 421.000.000 de descàrregues. Com a resultat, un nombre substancial de propietaris de dispositius Android, que ascendeixen a centenars de milions, estan potencialment en risc de ser víctimes del ciberespionatge.

Entre les aplicacions que es troben per portar el programari espia SpinOk amb més descàrregues es troben:

• • Un editor de vídeo Noizz amb un mínim de 100 milions d'instal·lacions.

• • Una aplicació de transferència i compartició de fitxers, Zapya, amb 100 milions d'instal·lacions més.

• • VFly (editor i creador de vídeo), MVBit (creador d'estat de vídeo MV) i Biudo (editor i creador de vídeos) cadascun amb un mínim de 50 milions d'instal·lacions.

Cal assenyalar que el malware SpinOk estava present en diverses versions de Zapya però s'ha eliminat amb la versió 6.4.1 de l'aplicació.

La presència d'aquest mòdul troià dins d'aquestes aplicacions molt utilitzades suposa una amenaça important per a la privadesa i la seguretat dels usuaris. Cal actuar immediatament per mitigar els riscos potencials associats a aquestes aplicacions compromeses.

El programari maliciós mòbil SpinOk recopila una àmplia gamma de dades sensibles sota l'aparença de funcionalitats útils

El mòdul SpinOk es presenta com una eina atractiva dins de les aplicacions, que ofereix als usuaris minijocs, sistemes de tasques i l'atractiu de premis i recompenses. Tanmateix, després de l'activació, aquest Troi Software Development Kit (SDK) estableix una connexió amb un servidor d'ordres i control (C&C) i transmet un conjunt complet de detalls tècnics sobre el dispositiu infectat. Aquests detalls inclouen dades del sensor de components com el giroscopi i el magnetòmetre, que es poden utilitzar per identificar entorns d'emuladors i ajustar el comportament del mòdul per evitar la detecció dels investigadors de seguretat. Per ofuscar encara més les seves activitats durant l'anàlisi, el mòdul troià ignora la configuració del servidor intermediari del dispositiu, cosa que li permet ocultar les connexions de xarxa.

Mitjançant la seva comunicació amb el servidor C&C, el mòdul rep una llista d'URL, que després carrega a WebView per mostrar banners publicitaris. Simultàniament, aquest SDK de troià millora les capacitats d'un codi JavaScript danyat executat dins d'aquestes pàgines web carregades, introduint una sèrie de funcionalitats en el procés. Aquests inclouen la possibilitat d'accedir i enumerar fitxers en directoris especificats, comprovar l'existència de fitxers o directoris específics al dispositiu, recuperar fitxers del dispositiu i manipular el contingut del porta-retalls.

Aquestes capacitats afegides proporcionen als operadors del mòdul troià els mitjans per adquirir informació i fitxers confidencials del dispositiu de l'usuari. Per exemple, les aplicacions que incorporen el troià SpinOk es poden aprofitar per manipular els fitxers als quals tenen accés. Els atacants ho aconsegueixen inserint el codi necessari a les pàgines HTML dels bàners publicitaris, cosa que els permet extreure dades i fitxers sensibles d'usuaris inconscients.