תוכנה זדונית לנייד של SpinOk

חוקרי אבטחת סייבר חשפו מודול תוכנה מאיים המכוון למכשירי אנדרואיד המצוידים ביכולות ריגול. מודול זה נמצא במעקב כ-SpinOk ופועל על ידי איסוף נתונים רגישים הנוגעים לקבצים המאוחסנים במכשירים המושפעים ובעל יכולת להעביר מידע זה לישויות מרושעות. בנוסף, הוא יכול להחליף ולהעלות תוכן שהועתק ללוח של המכשיר, להעביר אותם לשרת מרוחק שנשלט על ידי התוקפים.

תוכנת ה-SpinOk Malware מוסווה כערכת פיתוח תוכנה שיווקית (SDK). ככזה, מפתחים יכולים לשלב אותו באפליקציות ומשחקים שונים, כולל אלה הנגישים בקלות בחנות Google Play. שיטת הפצה זו מאפשרת למודול הנגוע בתוכנות ריגול לחדור למגוון רחב של תוכנות אנדרואיד, מה שמהווה איום משמעותי על פרטיות המשתמש ואבטחתו. ואכן, לפי מומחי infosec, יישומי אנדרואיד נגועים ב-SpinOk הורדו והותקנו למעלה מ-421 מיליון פעמים.

התוכנה הזדונית של SpinOk נמצאה מוזרקת למספר יישומים בחנות Google Play

המודול הטרויאני SpinOk, יחד עם מספר וריאציות שלו, זוהה בתוך יישומים רבים המופצים דרך חנות Google Play. בעוד שחלק מהיישומים הללו עדיין מכילים את ערכת פיתוח התוכנה (SDK) שנפגעה, באחרים היא הייתה קיימת בגרסאות ספציפיות או שהוסרה לחלוטין מהחנות. עם זאת, התגלה כי תוכנה זדונית זו לנייד קיימת בסך הכל ב-101 יישומים שונים, אשר צברו יחד למעלה מ-421,000,000 הורדות. כתוצאה מכך, מספר לא מבוטל של בעלי מכשירי אנדרואיד, בהיקף של מאות מיליונים, עלולים להיות בסיכון ליפול קורבן לריגול סייבר.

בין היישומים שנמצאו נושאים את תוכנת הריגול SpinOk עם הכי הרבה הורדות:

• עורך וידאו Noizz עם מינימום של 100 מיליון התקנות.
• אפליקציית העברת קבצים ושיתוף, Zapya, עם עוד 100 מיליון התקנות.
• VFly (עורך ויצר וידאו), MVBit (יוצר סטטוס וידאו של MV) ו-Biudo (עורך ויצר וידאו) כל אחד עם מינימום של 50 מיליון התקנות.

יש לציין שהתוכנה הזדונית של SpinOk הייתה קיימת במספר גרסאות של Zapya אך הוסרה עם גרסת 6.4.1 של האפליקציה.

הנוכחות של מודול טרויאני זה בתוך היישומים הנפוצים הללו מהווה איום משמעותי על הפרטיות והאבטחה של המשתמשים. נדרשת פעולה מיידית כדי לצמצם את הסיכונים הפוטנציאליים הקשורים ליישומים שנפגעו.

תוכנת זדונית לנייד של SpinOk אוספת מגוון רחב של נתונים רגישים במסווה של פונקציות שימושיות

מודול SpinOk מציג את עצמו ככלי מרתק בתוך יישומים, ומציע למשתמשים מיני-משחקים, מערכות משימות, ואת הפיתוי של פרסים ותגמולים. עם זאת, עם ההפעלה, ערכת פיתוח תוכנה טרויאנית זו (SDK) יוצרת חיבור עם שרת Command-and-Control (C&C) ומשדרת סט מקיף של פרטים טכניים על המכשיר הנגוע. פרטים אלה כוללים נתוני חיישנים ממרכיבים כמו הג'ירוסקופ והמגנטומטר, שניתן להשתמש בהם כדי לזהות סביבות אמולטור ולהתאים את התנהגות המודול כדי להתחמק מזיהוי על ידי חוקרי אבטחה. כדי לטשטש עוד יותר את פעילותו במהלך הניתוח, המודול הטרויאני מתעלם מהגדרות ה-proxy של המכשיר, ומאפשר לו להסתיר חיבורי רשת.

באמצעות התקשורת שלו עם שרת C&C, המודול מקבל רשימה של כתובות URL, שאותן הוא טוען ב-WebView כדי להציג באנרים פרסומיים. במקביל, SDK טרויאני זה משפר את היכולות של קוד JavaScript פגום המופעל בתוך דפי האינטרנט הטעונים הללו, ומציג מגוון פונקציות בתהליך. אלה כוללים את היכולת לגשת ולמנות קבצים בספריות שצוינו, לבדוק את קיומם של קבצים או ספריות ספציפיות במכשיר, לאחזר קבצים מהמכשיר ולתפעל את תוכן הלוח.

היכולות הנוספות הללו מספקות למפעילי המודול הטרויאני את האמצעים לרכוש מידע וקבצים סודיים מהמכשיר של המשתמש. לדוגמה, ניתן למנף יישומים המשלבים את SpinOk Trojan כדי לתפעל את הקבצים הנגישים להם. התוקפים משיגים זאת על ידי הכנסת הקוד הדרוש לדפי ה-HTML של באנרים הפרסומיים, מה שמאפשר להם לחלץ נתונים וקבצים רגישים ממשתמשים לא מודעים.