بدافزار موبایل SpinOk
محققان امنیت سایبری یک ماژول نرم افزاری تهدید کننده را کشف کرده اند که دستگاه های اندروید مجهز به قابلیت جاسوس افزار را هدف قرار می دهد. این ماژول بهعنوان SpinOk ردیابی میشود و با جمعآوری دادههای حساس مربوط به فایلهای ذخیرهشده در دستگاههای آسیبدیده عمل میکند و دارای توانایی انتقال این اطلاعات به موجودات بد فکر است. علاوه بر این، می تواند محتویات کپی شده را در کلیپ بورد دستگاه جایگزین و آپلود کند و آنها را به یک سرور راه دور که توسط مهاجمان کنترل می شود، ارسال کند.
بدافزار SpinOk به عنوان کیت توسعه نرم افزار بازاریابی (SDK) مبدل شده است. به این ترتیب، توسعهدهندگان میتوانند آن را در برنامهها و بازیهای مختلف، از جمله آنهایی که به راحتی در فروشگاه Google Play در دسترس هستند، وارد کنند. این روش توزیع به ماژول آلوده به نرم افزارهای جاسوسی اجازه می دهد تا به طور بالقوه به طیف گسترده ای از نرم افزارهای اندروید نفوذ کند و تهدیدی قابل توجه برای حریم خصوصی و امنیت کاربر باشد. در واقع، به گفته کارشناسان infosec، برنامه های اندرویدی آلوده به SpinOk بیش از 421 میلیون بار دانلود و نصب شده اند.
بدافزار SpinOk با تزریق به برنامه های متعدد در فروشگاه Google Play پیدا شد
ماژول تروجان SpinOk، همراه با چندین گونه از آن، در برنامه های متعددی که از طریق فروشگاه Google Play توزیع شده اند، شناسایی شده است. در حالی که برخی از این برنامهها همچنان حاوی کیت توسعه نرمافزار (SDK) هستند، برخی دیگر آن را در نسخههای خاصی وجود داشتند یا به طور کامل از فروشگاه حذف شدهاند. با این حال، مشخص شده است که این بدافزار تلفن همراه در مجموع در 101 برنامه مختلف وجود داشته است که در مجموع بیش از 421،000،000 دانلود را جمع آوری کرده اند. در نتیجه، تعداد قابل توجهی از دارندگان دستگاه های اندرویدی، که بالغ بر صدها میلیون نفر می شود، به طور بالقوه در معرض خطر قرار گرفتن قربانی جاسوسی سایبری هستند.
در میان برنامههایی که برای حمل جاسوسافزار SpinOk با بیشترین دانلود یافت میشوند عبارتند از:
- یک ویرایشگر ویدیو Noizz با حداقل 100 میلیون نصب.
- یک برنامه انتقال و اشتراک فایل، Zapya، با 100 میلیون نصب دیگر.
- VFly (ویرایشگر و سازنده ویدیو)، MVBit (سازنده وضعیت ویدیوی MV) و Biudo (ویرایشگر و سازنده ویدیو) هر کدام با حداقل 50 میلیون نصب.
لازم به ذکر است که بدافزار SpinOk در چندین نسخه Zapya وجود داشت اما با نسخه 6.4.1 برنامه حذف شده است.
وجود این ماژول تروجان در این برنامه های کاربردی پرکاربرد تهدیدی جدی برای حریم خصوصی و امنیت کاربران است. برای کاهش خطرات احتمالی مرتبط با این برنامههای در معرض خطر، اقدام فوری لازم است.
بدافزار موبایل SpinOk طیف گسترده ای از داده های حساس را تحت پوشش عملکردهای مفید جمع آوری می کند.
ماژول SpinOk خود را به عنوان یک ابزار جذاب در برنامه ها معرفی می کند که به کاربران مینی بازی ها، سیستم های وظیفه و جذابیت جوایز و جوایز را ارائه می دهد. با این حال، پس از فعالسازی، این کیت توسعه نرمافزار Trojan (SDK) با یک سرور Command-and-Control (C&C) ارتباط برقرار میکند و مجموعهای جامع از جزئیات فنی در مورد دستگاه آلوده را منتقل میکند. این جزئیات شامل داده های حسگر از اجزایی مانند ژیروسکوپ و مغناطیس سنج است که می تواند برای شناسایی محیط های شبیه ساز و تنظیم رفتار ماژول برای فرار از شناسایی توسط محققان امنیتی مورد استفاده قرار گیرد. ماژول تروجان برای مبهم کردن بیشتر فعالیت های خود در طول تجزیه و تحلیل، تنظیمات پراکسی دستگاه را نادیده می گیرد و آن را قادر می سازد اتصالات شبکه را پنهان کند.
از طریق ارتباط با سرور C&C، ماژول لیستی از URL ها را دریافت می کند که سپس در WebView برای نمایش بنرهای تبلیغاتی بارگذاری می شود. به طور همزمان، این Trojan SDK قابلیت های یک کد جاوا اسکریپت خراب اجرا شده در این صفحات وب بارگذاری شده را افزایش می دهد و طیف وسیعی از عملکردها را در این فرآیند معرفی می کند. این موارد شامل امکان دسترسی و شمارش فایلها در فهرستهای مشخص شده، بررسی وجود فایلها یا فهرستهای خاص در دستگاه، بازیابی فایلها از دستگاه و دستکاری محتوای کلیپ بورد است.
این قابلیت های اضافه شده، ابزاری را برای اپراتورهای ماژول تروجان فراهم می کند تا اطلاعات و فایل های محرمانه را از دستگاه کاربر به دست آورند. به عنوان مثال، برنامه های کاربردی حاوی تروجان SpinOk را می توان برای دستکاری فایل های قابل دسترسی به آنها استفاده کرد. مهاجمان این کار را با قرار دادن کدهای لازم در صفحات HTML بنرهای تبلیغاتی انجام می دهند و آنها را قادر می سازد تا داده ها و فایل های حساس را از کاربران ناخواسته استخراج کنند.