SpinOk Mobile -haittaohjelma

Kyberturvallisuustutkijat ovat löytäneet uhkaavan ohjelmistomoduulin, joka on kohdistettu vakoiluohjelmilla varustettuihin Android-laitteisiin. Tätä moduulia seurataan nimellä SpinOk, ja se toimii keräämällä arkaluontoisia tietoja, jotka liittyvät kyseisille laitteille tallennettuihin tiedostoihin, ja sillä on kyky välittää nämä tiedot pahamielisille tahoille. Lisäksi se voi korvata ja ladata laitteen leikepöydälle kopioitua sisältöä ja välittää ne hyökkääjien hallitsemalle etäpalvelimelle.

SpinOk-haittaohjelma on naamioitu markkinointiohjelmistokehityspaketiksi (SDK). Sellaisenaan kehittäjät voivat sisällyttää sen erilaisiin sovelluksiin ja peleihin, mukaan lukien ne, jotka ovat helposti saatavilla Google Play Kaupasta. Tämä jakelumenetelmä antaa vakoiluohjelmien saastuttaman moduulin mahdollisesti tunkeutua monenlaisiin Android-ohjelmistoihin, mikä muodostaa merkittävän uhan käyttäjien yksityisyydelle ja turvallisuudelle. Infosec-asiantuntijoiden mukaan SpinOk-tartunnan saaneita Android-sovelluksia on ladattu ja asennettu yli 421 miljoonaa kertaa.

SpinOk-haittaohjelma löydettiin ruiskutettuna lukuisiin Google Play -kaupan sovelluksiin

SpinOk-troijalainen moduuli ja sen useat muunnelmat on tunnistettu useissa Google Play Kaupan kautta jaetuissa sovelluksissa. Vaikka jotkin näistä sovelluksista sisältävät edelleen vaarantuneen Software Development Kit (SDK) -paketin, toisissa se on ollut tietyissä versioissa tai ne on poistettu kokonaan kaupasta. On kuitenkin havaittu, että tämä mobiilihaittaohjelma on esiintynyt yhteensä 101 eri sovelluksessa, jotka ovat keränneet yhteensä yli 421 000 000 latausta. Tämän seurauksena huomattava määrä Android-laitteiden omistajia, satoja miljoonia, on mahdollisesti vaarassa joutua kybervakoilun uhriksi.

Eniten ladattavia SpinOk-vakoiluohjelmia sisältävien sovellusten joukossa ovat:

• • Videoeditori Noizz, jossa on vähintään 100 miljoonaa asennusta.

• • Tiedostonsiirto- ja jakamissovellus, Zapya, jossa on vielä 100 miljoonaa asennusta.

• • VFly (videoeditori ja -valmistaja), MVBit (MV-videon tilan luoja) ja Biudo (videoeditori ja -valmistaja) kullakin vähintään 50 miljoonalla asennuksella.

On syytä huomauttaa, että SpinOk-haittaohjelma oli useissa Zapyan versioissa, mutta se on poistettu sovelluksen 6.4.1-version mukana.

Tämän troijalaisen moduulin läsnäolo näissä laajalti käytetyissä sovelluksissa on merkittävä uhka käyttäjien yksityisyydelle ja turvallisuudelle. Välittömiä toimenpiteitä tarvitaan näihin vaarantuneisiin sovelluksiin liittyvien mahdollisten riskien vähentämiseksi.

SpinOk Mobile -haittaohjelma kerää laajan valikoiman arkaluonteisia tietoja hyödyllisten toimintojen varjolla

SpinOk-moduuli esittelee itsensä kiinnostavana työkaluna sovelluksissa, ja se tarjoaa käyttäjille minipelejä, tehtäväjärjestelmiä sekä palkintojen ja palkintojen houkuttelevuutta. Aktivoinnin jälkeen tämä Trojan Software Development Kit (SDK) muodostaa kuitenkin yhteyden Command-and-Control (C&C) -palvelimeen ja lähettää kattavan joukon teknisiä tietoja tartunnan saaneesta laitteesta. Nämä yksityiskohdat sisältävät anturidataa komponenteista, kuten gyroskoopista ja magnetometristä, joita voidaan käyttää tunnistamaan emulaattoriympäristöt ja säätämään moduulin käyttäytymistä, jotta tietoturvatutkijat eivät havaitse niitä. Hämärtääkseen toimintaansa edelleen analyysin aikana, troijalainen moduuli jättää huomioimatta laitteen välityspalvelimen asetukset, jolloin se voi piilottaa verkkoyhteydet.

C&C-palvelimen kanssa kommunikoimalla moduuli vastaanottaa URL-osoitteiden luettelon, jonka se lataa sitten WebView'ssa näyttääkseen mainosbannereita. Samalla tämä troijalainen SDK parantaa näillä ladatuilla Web-sivuilla suoritetun vioittun JavaScript-koodin ominaisuuksia ja tuo prosessiin useita toimintoja. Näitä ovat mahdollisuus käyttää ja luetella tiedostoja tietyissä hakemistoissa, tarkistaa, onko laitteessa tiettyjä tiedostoja tai hakemistoja, noutaa tiedostoja laitteesta ja käsitellä leikepöydän sisältöä.

Nämä lisäominaisuudet tarjoavat Troijan moduulin käyttäjille keinot hankkia luottamuksellisia tietoja ja tiedostoja käyttäjän laitteesta. Esimerkiksi SpinOk-troijalaisen sisältäviä sovelluksia voidaan hyödyntää niiden käytettävissä olevien tiedostojen käsittelyssä. Hyökkääjät saavuttavat tämän lisäämällä tarvittavan koodin mainosbannerien HTML-sivuille, jolloin he voivat poimia arkaluonteisia tietoja ja tiedostoja tietämättömiltä käyttäjiltä.