SpinOk mobiili pahavara

Küberturvalisuse teadlased on avastanud ähvardava tarkvaramooduli, mis on suunatud nuhkvaravõimalustega Android-seadmetele. Seda moodulit jälgitakse kui SpinOk ja see kogub tundlikke andmeid mõjutatud seadmetesse salvestatud failide kohta ning omab võimalust edastada seda teavet kurja mõtlemisega üksustele. Lisaks saab see asendada ja üles laadida seadme lõikepuhvrisse kopeeritud sisu, edastades selle ründajate juhitavasse kaugserverisse.

SpinOki pahavara on maskeeritud turundustarkvara arenduskomplektiks (SDK). Sellisena saavad arendajad selle lisada erinevatesse rakendustesse ja mängudesse, sealhulgas Google Play poest hõlpsasti juurdepääsetavatesse. See levitamismeetod võimaldab nuhkvaraga nakatunud moodulil potentsiaalselt imbuda laias valikus Androidi tarkvarasse, mis kujutab endast olulist ohtu kasutaja privaatsusele ja turvalisusele. Tõepoolest, infoseci ekspertide sõnul on SpinOkiga nakatunud Androidi rakendusi alla laaditud ja installitud üle 421 miljoni korra.

SpinOki pahavara leiti Google Play poe arvukatesse rakendustesse

Trooja moodul SpinOk ja selle mitmed variatsioonid on tuvastatud paljudes Google Play poe kaudu levitatavates rakendustes. Kuigi mõned neist rakendustest sisaldavad endiselt ohustatud tarkvaraarenduskomplekti (SDK), on teistel see teatud versioonides olemas või need on poest täielikult eemaldatud. Siiski on avastatud, et see mobiilne pahavara on esinenud kokku 101 erinevas rakenduses, mis on kokku kogunud üle 421 000 000 allalaadimise. Selle tulemusena võib suur hulk Android-seadmete omanikke, ulatudes sadadesse miljonitesse, sattuda küberspionaaži ohvriks.

Kõige rohkem allalaaditud SpinOki nuhkvara kandvate rakenduste hulgas on järgmised:

• • Videoredaktor Noizz, millel on vähemalt 100 miljonit installi.

• • Failiedastus- ja -jagamisrakendus Zapya, millel on veel 100 miljonit installi.

• • VFly (video redigeerija ja tegija), MVBit (MV video oleku looja) ja Biudo (video redigeerija ja tegija), igaüks vähemalt 50 miljonit installimist.

Tuleb märkida, et SpinOki pahavara oli Zapya mitmes versioonis olemas, kuid see eemaldati rakenduse versiooniga 6.4.1.

Selle trooja mooduli olemasolu nendes laialdaselt kasutatavates rakendustes ohustab oluliselt kasutajate privaatsust ja turvalisust. Nende ohustatud rakendustega seotud võimalike riskide maandamiseks on vaja viivitamatuid meetmeid.

SpinOki mobiili pahavara kogub kasulike funktsioonide varjus laia valikut tundlikke andmeid

SpinOki moodul esitleb end rakendustes kaasahaarava tööriistana, pakkudes kasutajatele minimänge, ülesannete süsteeme ning ahvatlevaid auhindu ja auhindu. Aktiveerimisel loob see Trooja tarkvaraarenduskomplekt (SDK) aga ühenduse Command-and-Control (C&C) serveriga ja edastab nakatunud seadme kohta ulatusliku tehniliste üksikasjade komplekti. Need üksikasjad hõlmavad andurite andmeid sellistest komponentidest nagu güroskoop ja magnetomeeter, mida saab kasutada emulaatorikeskkondade tuvastamiseks ja mooduli käitumise reguleerimiseks, et vältida turvateadlaste tuvastamist. Oma tegevuse edasiseks hägustamiseks analüüsi ajal eirab Trooja moodul seadme puhverserveri sätteid, võimaldades tal võrguühendusi varjata.

C&C serveriga suhtlemise kaudu saab moodul URL-ide loendi, mille see seejärel WebView-sse laadib, et kuvada reklaambännereid. Samal ajal suurendab see Trooja SDK nendel laaditud veebilehtedel käivitatava rikutud JavaScripti koodi võimalusi, tuues protsessi sisse mitmeid funktsioone. Need hõlmavad võimalust pääseda juurde ja loetleda faile määratud kataloogides, kontrollida konkreetsete failide või kataloogide olemasolu seadmes, laadida seadmest faile ja manipuleerida lõikepuhvri sisuga.

Need lisavõimalused annavad Trooja mooduli operaatoritele vahendid konfidentsiaalse teabe ja failide hankimiseks kasutaja seadmest. Näiteks SpinOki troojat sisaldavaid rakendusi saab kasutada neile juurdepääsetavate failidega manipuleerimiseks. Ründajad saavutavad selle, lisades reklaamibännerite HTML-lehtedele vajaliku koodi, võimaldades neil tahtmatutelt kasutajatelt tundlikke andmeid ja faile välja võtta.