SpinOk Mobile Malware

A kiberbiztonsági kutatók fenyegető szoftvermodult fedeztek fel, amely kémprogram-képességekkel felszerelt Android-eszközöket céloz meg. Ez a modul SpinOk néven van nyomon követve, és az érintett eszközökön tárolt fájlokhoz kapcsolódó érzékeny adatok gyűjtésével működik, és képes továbbítani ezeket az információkat a gonosz szellemű entitásoknak. Ezenkívül képes lecserélni és feltölteni az eszköz vágólapjára másolt tartalmakat, továbbítva azokat a támadók által irányított távoli szerverre.

A SpinOk Malware-t marketing szoftverfejlesztő készletnek (SDK) álcázták. Mint ilyen, a fejlesztők beépíthetik különféle alkalmazásokba és játékokba, beleértve azokat is, amelyek könnyen elérhetők a Google Play Áruházban. Ez a terjesztési módszer lehetővé teszi a kémprogramokkal fertőzött modul számára, hogy potenciálisan beszivárogjon az Android-szoftverek széles körébe, ami jelentős veszélyt jelent a felhasználók magánéletére és biztonságára. Valójában az infosec szakértői szerint a SpinOk által fertőzött Android-alkalmazásokat több mint 421 millió alkalommal töltötték le és telepítették.

A SpinOk kártevőt számos alkalmazásba befecskendezték a Google Play Áruházban

A SpinOk trójai modult, annak számos változatával együtt, számos, a Google Play Áruházban terjesztett alkalmazásban azonosították. Míg ezen alkalmazások némelyike még mindig tartalmazza a feltört szoftverfejlesztő készletet (SDK), mások bizonyos verzióiban jelen voltak, vagy teljesen eltávolították az áruházból. Felfedezték azonban, hogy ez a mobil rosszindulatú program összesen 101 különböző alkalmazásban volt jelen, amelyek együttesen több mint 421 000 000 letöltést gyűjtöttek össze. Ennek eredményeként az Android-eszköz-tulajdonosok jelentős része, több száz millióra rúg, fennáll annak a veszélye, hogy kiberkémkedés áldozatává válik.

A legtöbb letöltött SpinOk kémprogramot hordozó alkalmazások közül a következők:

• Egy Noizz videószerkesztő, legalább 100 millió telepítéssel.
• Egy fájlátviteli és -megosztó alkalmazás, a Zapya további 100 millió telepítéssel.
• VFly (videószerkesztő és -készítő), MVBit (MV videó állapotkészítő) és Biudo (videószerkesztő és -készítő) egyenként legalább 50 millió telepítéssel.

Ki kell emelni, hogy a SpinOk Malware a Zapya több verziójában is jelen volt, de az alkalmazás 6.4.1-es verziójával eltávolították.

Ennek a trójai modulnak a jelenléte ezekben a széles körben használt alkalmazásokban jelentős veszélyt jelent a felhasználók magánéletére és biztonságára nézve. Azonnali intézkedésekre van szükség az ezekkel a veszélyeztetett alkalmazásokkal kapcsolatos lehetséges kockázatok csökkentése érdekében.

A SpinOk Mobile rosszindulatú program érzékeny adatok széles skáláját gyűjti össze hasznos funkciók leple alatt

A SpinOk modul lebilincselő eszközként jelenik meg az alkalmazásokon belül, minijátékokat, feladatrendszereket, valamint nyeremények és jutalmak csábítását kínálja a felhasználóknak. Aktiváláskor azonban ez a trójai szoftverfejlesztő készlet (SDK) kapcsolatot létesít egy Command-and-Control (C&C) szerverrel, és átfogó műszaki adatokat továbbít a fertőzött eszközről. Ezek a részletek magukban foglalják az olyan komponensekből származó szenzoradatokat, mint a giroszkóp és a magnetométer, amelyek felhasználhatók az emulátor környezetek azonosítására és a modul viselkedésének módosítására, hogy elkerüljék a biztonsági kutatók észlelését. A trójai modul figyelmen kívül hagyja az eszköz proxy beállításait, és lehetővé teszi a hálózati kapcsolatok elrejtését, hogy az elemzés során még jobban elhomályosítsa tevékenységét.

A C&C szerverrel folytatott kommunikáció során a modul megkapja az URL-ek listáját, amelyet aztán betölt a WebView-ba, hogy megjelenítse a reklámszalagokat. Ezzel egyidejűleg ez a trójai SDK javítja az ezeken a betöltött weboldalakon végrehajtott sérült JavaScript-kódok képességeit, és számos funkciót vezet be a folyamatba. Ezek közé tartozik a megadott könyvtárakban lévő fájlok elérése és felsorolása, adott fájlok vagy könyvtárak meglétének ellenőrzése az eszközön, fájlok lekérése az eszközről, valamint a vágólap tartalmának manipulálása.

Ezek a hozzáadott képességek biztosítják a trójai modul üzemeltetői számára, hogy bizalmas információkat és fájlokat szerezzenek be a felhasználó eszközéről. Például a SpinOk trójai programot tartalmazó alkalmazások kihasználhatók a számukra elérhető fájlok manipulálására. A támadók ezt úgy érik el, hogy beillesztik a szükséges kódot a reklámszalagok HTML-oldalaiba, lehetővé téve számukra, hogy érzékeny adatokat és fájlokat kinyerhessenek ki nem akaró felhasználóktól.