SpinOk Mobile Malware

Výzkumníci v oblasti kybernetické bezpečnosti odhalili hrozivý softwarový modul zaměřený na zařízení Android vybavená spywarem. Tento modul je sledován jako SpinOk a funguje tak, že shromažďuje citlivá data týkající se souborů uložených na postižených zařízeních a má schopnost předávat tyto informace zlomyslným subjektům. Kromě toho může nahrazovat a nahrávat obsah zkopírovaný do schránky zařízení a přeposílat jej na vzdálený server ovládaný útočníky.

Malware SpinOk byl maskován jako marketingová sada pro vývoj softwaru (SDK). Jako takový jej mohou vývojáři začlenit do různých aplikací a her, včetně těch, které jsou snadno dostupné v Obchodě Google Play. Tato distribuční metoda umožňuje modulu infikovanému spywarem potenciálně infiltrovat širokou škálu softwaru Android, což představuje významnou hrozbu pro soukromí a bezpečnost uživatelů. Podle odborníků společnosti Infosec byly aplikace pro Android infikované SpinOk staženy a nainstalovány více než 421 milionůkrát.

Malware SpinOk byl nalezen vložen do mnoha aplikací v Obchodě Google Play

Trojský modul SpinOk spolu s několika jeho variacemi byl identifikován v mnoha aplikacích distribuovaných prostřednictvím obchodu Google Play. Zatímco některé z těchto aplikací stále obsahují kompromitovanou sadu Software Development Kit (SDK), jiné ji měly ve specifických verzích nebo byly zcela odstraněny z obchodu. Bylo však zjištěno, že tento mobilní malware byl přítomen celkem ve 101 různých aplikacích, které dohromady nashromáždily přes 421 000 000 stažení. Výsledkem je, že značný počet majitelů zařízení Android, které dosahují stovek milionů, je potenciálně ohrožen, že se stanou obětí kybernetické špionáže.

Mezi aplikacemi, u kterých bylo zjištěno, že přenášejí spyware SpinOk s největším počtem stažení, jsou:

• Video editor Noizz s minimálně 100 miliony instalací.
• Aplikace pro přenos a sdílení souborů, Zapya, s dalšími 100 miliony instalací.
• VFly (editor a tvůrce videa), MVBit (tvůrce stavu videa MV) a Biudo (editor a tvůrce videa), každý s minimálně 50 miliony instalací.

Je třeba zdůraznit, že malware SpinOk byl přítomen v několika verzích Zapya, ale byl odstraněn s verzí aplikace 6.4.1.

Přítomnost tohoto trojského modulu v těchto široce používaných aplikacích představuje významnou hrozbu pro soukromí a bezpečnost uživatelů. Ke zmírnění potenciálních rizik spojených s těmito napadenými aplikacemi je vyžadována okamžitá akce.

SpinOk Mobile Malware shromažďuje širokou škálu citlivých dat pod rouškou užitečných funkcí

Modul SpinOk se v aplikacích prezentuje jako poutavý nástroj, který uživatelům nabízí minihry, systémy úkolů a lákadlo cen a odměn. Po aktivaci však tento Trojan Software Development Kit (SDK) naváže spojení se serverem Command-and-Control (C&C) a přenese komplexní sadu technických podrobností o infikovaném zařízení. Tyto podrobnosti zahrnují data senzorů z komponent, jako je gyroskop a magnetometr, které lze využít k identifikaci prostředí emulátoru a úpravě chování modulu tak, aby se vyhnul detekci bezpečnostními výzkumníky. Aby modul Trojan ještě více zatemnil své aktivity během analýzy, ignoruje nastavení proxy zařízení a umožňuje mu skrýt síťová připojení.

Modul prostřednictvím komunikace se serverem C&C obdrží seznam URL, které následně načte do WebView pro zobrazení reklamních bannerů. Zároveň tento trojský kůň SDK vylepšuje možnosti poškozeného kódu JavaScript spuštěného na těchto načtených webových stránkách a zavádí do procesu řadu funkcí. Patří mezi ně možnost přístupu a výčtu souborů v určených adresářích, kontrola existence konkrétních souborů nebo adresářů v zařízení, načítání souborů ze zařízení a manipulace s obsahem schránky.

Tyto přidané funkce poskytují operátorům modulu Trojan prostředky k získávání důvěrných informací a souborů ze zařízení uživatele. Například aplikace obsahující trojský kůň SpinOk lze využít k manipulaci se soubory, které mají k dispozici. Útočníci toho dosáhnou vložením potřebného kódu do HTML stránek reklamních bannerů, což jim umožní extrahovat citlivá data a soubory z nevědomých uživatelů.