SpinOk Mobile Malware

I ricercatori della sicurezza informatica hanno scoperto un modulo software minaccioso che prende di mira i dispositivi Android dotati di funzionalità spyware. Questo modulo è tracciato come SpinOk e funziona raccogliendo dati sensibili relativi ai file archiviati sui dispositivi interessati e possiede la capacità di trasmettere queste informazioni a entità malvagie. Inoltre, può sostituire e caricare i contenuti copiati negli appunti del dispositivo, inoltrandoli a un server remoto controllato dagli aggressori.

Il malware SpinOk è stato camuffato da kit di sviluppo software (SDK) di marketing. In quanto tale, può essere incorporato dagli sviluppatori in varie applicazioni e giochi, compresi quelli facilmente accessibili su Google Play Store. Questo metodo di distribuzione consente al modulo infetto da spyware di infiltrarsi potenzialmente in un'ampia gamma di software Android, rappresentando una minaccia significativa per la privacy e la sicurezza degli utenti. In effetti, secondo gli esperti di infosec, le applicazioni Android infette da SpinOk sono state scaricate e installate oltre 421 milioni di volte.

Il malware SpinOk è stato trovato iniettato in numerose applicazioni sul Google Play Store

Il modulo trojan SpinOk, insieme a diverse sue varianti, è stato identificato all'interno di numerose applicazioni distribuite attraverso il Google Play Store. Mentre alcune di queste applicazioni contengono ancora il Software Development Kit (SDK) compromesso, altre lo avevano presente in versioni specifiche o sono state completamente rimosse dallo store. Tuttavia, è stato scoperto che questo malware mobile era presente in un totale di 101 diverse applicazioni, che hanno accumulato complessivamente oltre 421.000.000 di download. Di conseguenza, un numero considerevole di proprietari di dispositivi Android, pari a centinaia di milioni, è potenzialmente a rischio di cadere vittima dello spionaggio informatico.

Tra le applicazioni trovate per trasportare lo spyware SpinOk con il maggior numero di download ci sono:

• Un editor video Noizz con un minimo di 100 milioni di installazioni.
• Un'applicazione per il trasferimento e la condivisione di file, Zapya, con altri 100 milioni di installazioni.
• VFly (editor e creatore di video), MVBit (creatore di stato video MV) e Biudo (editor e creatore di video) ciascuno con un minimo di 50 milioni di installazioni.

Va sottolineato che il Malware SpinOk era presente in diverse versioni di Zapya ma è stato rimosso con la versione 6.4.1 dell'applicazione.

La presenza di questo modulo Trojan all'interno di queste applicazioni ampiamente utilizzate rappresenta una minaccia significativa per la privacy e la sicurezza degli utenti. È necessaria un'azione immediata per mitigare i potenziali rischi associati a queste applicazioni compromesse.

Il malware mobile SpinOk raccoglie un'ampia gamma di dati sensibili con il pretesto di utili funzionalità

Il modulo SpinOk si presenta come uno strumento coinvolgente all'interno delle applicazioni, offrendo agli utenti mini-giochi, sistemi di attività e il fascino di premi e ricompense. Tuttavia, dopo l'attivazione, questo Trojan Software Development Kit (SDK) stabilisce una connessione con un server Command-and-Control (C&C) e trasmette una serie completa di dettagli tecnici sul dispositivo infetto. Questi dettagli includono i dati dei sensori provenienti da componenti come il giroscopio e il magnetometro, che possono essere utilizzati per identificare gli ambienti dell'emulatore e regolare il comportamento del modulo per eludere il rilevamento da parte dei ricercatori di sicurezza. Per offuscare ulteriormente le sue attività durante l'analisi, il modulo Trojan ignora le impostazioni proxy del dispositivo, consentendogli di nascondere le connessioni di rete.

Attraverso la sua comunicazione con il server C&C, il modulo riceve un elenco di URL, che poi carica in WebView per visualizzare banner pubblicitari. Allo stesso tempo, questo Trojan SDK migliora le capacità di un codice JavaScript corrotto eseguito all'interno di queste pagine Web caricate, introducendo una serie di funzionalità nel processo. Questi includono la possibilità di accedere ed enumerare i file in directory specificate, verificare l'esistenza di file o directory specifici sul dispositivo, recuperare file dal dispositivo e manipolare il contenuto degli Appunti.

Queste funzionalità aggiuntive forniscono agli operatori del modulo Trojan i mezzi per acquisire informazioni riservate e file dal dispositivo dell'utente. Ad esempio, le applicazioni che incorporano il trojan SpinOk possono essere sfruttate per manipolare i file a loro accessibili. Gli aggressori realizzano ciò inserendo il codice necessario nelle pagine HTML dei banner pubblicitari, consentendo loro di estrarre dati e file sensibili da utenti ignari.