بدافزار موبایل SpinOk

محققان امنیت سایبری یک ماژول نرم افزاری تهدید کننده را کشف کرده اند که دستگاه های اندروید مجهز به قابلیت جاسوس افزار را هدف قرار می دهد. این ماژول به‌عنوان SpinOk ردیابی می‌شود و با جمع‌آوری داده‌های حساس مربوط به فایل‌های ذخیره‌شده در دستگاه‌های آسیب‌دیده عمل می‌کند و دارای توانایی انتقال این اطلاعات به موجودات بد فکر است. علاوه بر این، می تواند محتویات کپی شده را در کلیپ بورد دستگاه جایگزین و آپلود کند و آنها را به یک سرور راه دور که توسط مهاجمان کنترل می شود، ارسال کند.

بدافزار SpinOk به عنوان کیت توسعه نرم افزار بازاریابی (SDK) مبدل شده است. به این ترتیب، توسعه‌دهندگان می‌توانند آن را در برنامه‌ها و بازی‌های مختلف، از جمله آن‌هایی که به راحتی در فروشگاه Google Play در دسترس هستند، وارد کنند. این روش توزیع به ماژول آلوده به نرم افزارهای جاسوسی اجازه می دهد تا به طور بالقوه به طیف گسترده ای از نرم افزارهای اندروید نفوذ کند و تهدیدی قابل توجه برای حریم خصوصی و امنیت کاربر باشد. در واقع، به گفته کارشناسان infosec، برنامه های اندرویدی آلوده به SpinOk بیش از 421 میلیون بار دانلود و نصب شده اند.

بدافزار SpinOk با تزریق به برنامه های متعدد در فروشگاه Google Play پیدا شد

ماژول تروجان SpinOk، همراه با چندین گونه از آن، در برنامه های متعددی که از طریق فروشگاه Google Play توزیع شده اند، شناسایی شده است. در حالی که برخی از این برنامه‌ها همچنان حاوی کیت توسعه نرم‌افزار (SDK) هستند، برخی دیگر آن را در نسخه‌های خاصی وجود داشتند یا به طور کامل از فروشگاه حذف شده‌اند. با این حال، مشخص شده است که این بدافزار تلفن همراه در مجموع در 101 برنامه مختلف وجود داشته است که در مجموع بیش از 421،000،000 دانلود را جمع آوری کرده اند. در نتیجه، تعداد قابل توجهی از دارندگان دستگاه های اندرویدی، که بالغ بر صدها میلیون نفر می شود، به طور بالقوه در معرض خطر قرار گرفتن قربانی جاسوسی سایبری هستند.

در میان برنامه‌هایی که برای حمل جاسوس‌افزار SpinOk با بیشترین دانلود یافت می‌شوند عبارتند از:

• یک ویرایشگر ویدیو Noizz با حداقل 100 میلیون نصب.
• یک برنامه انتقال و اشتراک فایل، Zapya، با 100 میلیون نصب دیگر.
• VFly (ویرایشگر و سازنده ویدیو)، MVBit (سازنده وضعیت ویدیوی MV) و Biudo (ویرایشگر و سازنده ویدیو) هر کدام با حداقل 50 میلیون نصب.

لازم به ذکر است که بدافزار SpinOk در چندین نسخه Zapya وجود داشت اما با نسخه 6.4.1 برنامه حذف شده است.

وجود این ماژول تروجان در این برنامه های کاربردی پرکاربرد تهدیدی جدی برای حریم خصوصی و امنیت کاربران است. برای کاهش خطرات احتمالی مرتبط با این برنامه‌های در معرض خطر، اقدام فوری لازم است.

بدافزار موبایل SpinOk طیف گسترده ای از داده های حساس را تحت پوشش عملکردهای مفید جمع آوری می کند.

ماژول SpinOk خود را به عنوان یک ابزار جذاب در برنامه ها معرفی می کند که به کاربران مینی بازی ها، سیستم های وظیفه و جذابیت جوایز و جوایز را ارائه می دهد. با این حال، پس از فعال‌سازی، این کیت توسعه نرم‌افزار Trojan (SDK) با یک سرور Command-and-Control (C&C) ارتباط برقرار می‌کند و مجموعه‌ای جامع از جزئیات فنی در مورد دستگاه آلوده را منتقل می‌کند. این جزئیات شامل داده های حسگر از اجزایی مانند ژیروسکوپ و مغناطیس سنج است که می تواند برای شناسایی محیط های شبیه ساز و تنظیم رفتار ماژول برای فرار از شناسایی توسط محققان امنیتی مورد استفاده قرار گیرد. ماژول تروجان برای مبهم کردن بیشتر فعالیت های خود در طول تجزیه و تحلیل، تنظیمات پراکسی دستگاه را نادیده می گیرد و آن را قادر می سازد اتصالات شبکه را پنهان کند.

از طریق ارتباط با سرور C&C، ماژول لیستی از URL ها را دریافت می کند که سپس در WebView برای نمایش بنرهای تبلیغاتی بارگذاری می شود. به طور همزمان، این Trojan SDK قابلیت های یک کد جاوا اسکریپت خراب اجرا شده در این صفحات وب بارگذاری شده را افزایش می دهد و طیف وسیعی از عملکردها را در این فرآیند معرفی می کند. این موارد شامل امکان دسترسی و شمارش فایل‌ها در فهرست‌های مشخص شده، بررسی وجود فایل‌ها یا فهرست‌های خاص در دستگاه، بازیابی فایل‌ها از دستگاه و دستکاری محتوای کلیپ بورد است.

این قابلیت های اضافه شده، ابزاری را برای اپراتورهای ماژول تروجان فراهم می کند تا اطلاعات و فایل های محرمانه را از دستگاه کاربر به دست آورند. به عنوان مثال، برنامه های کاربردی حاوی تروجان SpinOk را می توان برای دستکاری فایل های قابل دسترسی به آنها استفاده کرد. مهاجمان این کار را با قرار دادن کدهای لازم در صفحات HTML بنرهای تبلیغاتی انجام می دهند و آنها را قادر می سازد تا داده ها و فایل های حساس را از کاربران ناخواسته استخراج کنند.