SpinOk Mobile Malware

Cybersikkerhedsforskere har afsløret et truende softwaremodul rettet mod Android-enheder udstyret med spyware-funktioner. Dette modul spores som SpinOk og fungerer ved at indsamle følsomme data vedrørende filer gemt på de berørte enheder og har evnen til at overføre disse oplysninger til ondsindede enheder. Derudover kan den erstatte og uploade indhold, der er kopieret til enhedens udklipsholder, og videresende dem til en ekstern server, der kontrolleres af angriberne.

SpinOk Malware er blevet forklædt som et marketingsoftwareudviklingssæt (SDK). Som sådan kan det indarbejdes af udviklere i forskellige applikationer og spil, inklusive dem, der er let tilgængelige i Google Play Butik. Denne distributionsmetode giver det spyware-inficerede modul mulighed for potentielt at infiltrere en bred vifte af Android-software, hvilket udgør en betydelig trussel mod brugernes privatliv og sikkerhed. Faktisk, ifølge infosec-eksperter, er SpinOk-inficerede Android-applikationer blevet downloadet og installeret over 421 millioner gange.

SpinOk-malwaren blev fundet injiceret i adskillige applikationer i Google Play Butik

SpinOk trojanske modulet, sammen med flere variationer af det, er blevet identificeret i adskillige applikationer distribueret gennem Google Play Butik. Mens nogle af disse applikationer stadig indeholder det kompromitterede Software Development Kit (SDK), havde andre det til stede i specifikke versioner eller er blevet helt fjernet fra butikken. Det er dog blevet opdaget, at denne mobile malware har været til stede i i alt 101 forskellige applikationer, som tilsammen har samlet over 421.000.000 downloads. Som følge heraf er et betydeligt antal ejere af Android-enheder, der beløber sig til hundredvis af millioner, potentielt i risiko for at blive ofre for cyberspionage.

Blandt de programmer, der er fundet til at bære SpinOk-spywaren med flest downloads, er:

• En videoredigerer Noizz med minimum 100 millioner installationer.
• En filoverførsels- og deleapplikation, Zapya, med yderligere 100 millioner installationer.
• VFly (videoredigerer og maker), MVBit (MV-videostatusfremstiller) og Biudo (videoredigerer og maker) hver med minimum 50 millioner installationer.

Det skal påpeges, at SpinOk Malware var til stede i flere versioner af Zapya, men er blevet fjernet med 6.4.1-versionen af applikationen.

Tilstedeværelsen af dette trojanske modul i disse udbredte applikationer udgør en betydelig trussel mod brugernes privatliv og sikkerhed. Der kræves øjeblikkelig handling for at mindske de potentielle risici forbundet med disse kompromitterede applikationer.

SpinOk Mobile Malware indsamler en bred vifte af følsomme data under dække af nyttige funktioner

SpinOk-modulet præsenterer sig selv som et engagerende værktøj inden for applikationer, der tilbyder brugere minispil, opgavesystemer og tillokkelsen af præmier og belønninger. Men ved aktivering etablerer dette trojanske softwareudviklingssæt (SDK) en forbindelse til en Command-and-Control-server (C&C) og transmitterer et omfattende sæt tekniske detaljer om den inficerede enhed. Disse detaljer omfatter sensordata fra komponenter som gyroskopet og magnetometeret, som kan bruges til at identificere emulatormiljøer og justere modulets adfærd for at undgå opdagelse af sikkerhedsforskere. For yderligere at sløre dets aktiviteter under analyse ignorerer det trojanske modul enheds proxy-indstillinger, hvilket gør det muligt for det at skjule netværksforbindelser.

Gennem sin kommunikation med C&C-serveren modtager modulet en liste over URL'er, som det derefter indlæser i WebView for at vise reklamebannere. Samtidigt forbedrer denne trojanske SDK mulighederne for en beskadiget JavaScript-kode, der udføres på disse indlæste websider, og introducerer en række funktioner i processen. Disse omfatter muligheden for at få adgang til og opregne filer i specificerede mapper, kontrollere, om der findes specifikke filer eller mapper på enheden, hente filer fra enheden og manipulere indholdet af udklipsholderen.

Disse tilføjede muligheder giver operatørerne af det trojanske modul midlerne til at erhverve fortrolige oplysninger og filer fra brugerens enhed. For eksempel kan applikationer, der inkorporerer SpinOk-trojaneren, udnyttes til at manipulere de filer, der er tilgængelige for dem. Angriberne opnår dette ved at indsætte den nødvendige kode i HTML-siderne på reklamebannerne, hvilket gør dem i stand til at udtrække følsomme data og filer fra uvidende brugere.