SpinOk 모바일 악성코드

사이버 보안 연구원이 스파이웨어 기능이 탑재된 Android 기기를 대상으로 하는 위협적인 소프트웨어 모듈을 발견했습니다. 이 모듈은 SpinOk로 추적되며 영향을 받는 장치에 저장된 파일과 관련된 민감한 데이터를 수집하여 작동하며 이 정보를 악의적인 개체에 전송할 수 있는 기능을 가지고 있습니다. 또한 장치의 클립보드에 복사된 콘텐츠를 교체하고 업로드하여 공격자가 제어하는 원격 서버로 전달할 수 있습니다.

SpinOk 악성코드는 마케팅 소프트웨어 개발 키트(SDK)로 위장했습니다. 따라서 개발자는 Google Play 스토어에서 쉽게 액세스할 수 있는 것을 포함하여 다양한 애플리케이션 및 게임에 통합할 수 있습니다. 이 배포 방법을 통해 스파이웨어에 감염된 모듈은 잠재적으로 광범위한 Android 소프트웨어에 침투하여 사용자 개인 정보 및 보안에 중대한 위협이 됩니다. 실제로 infosec 전문가에 따르면 SpinOk에 감염된 Android 애플리케이션은 4억 2,100만 회 이상 다운로드 및 설치되었습니다.

SpinOk 악성코드가 Google Play 스토어의 수많은 애플리케이션에 주입된 것으로 확인되었습니다.

SpinOk 트로이 목마 모듈은 여러 변종과 함께 Google Play 스토어를 통해 배포되는 수많은 애플리케이션에서 확인되었습니다. 이러한 애플리케이션 중 일부는 여전히 손상된 소프트웨어 개발 키트(SDK)를 포함하고 있지만 다른 애플리케이션은 특정 버전에 있거나 스토어에서 완전히 제거되었습니다. 그러나 이 모바일 맬웨어는 총 101개의 서로 다른 애플리케이션에 존재하는 것으로 밝혀졌으며 총 4억 2100만 회 이상의 다운로드를 기록했습니다. 그 결과 수억 명에 달하는 상당수의 Android 기기 소유자가 잠재적으로 사이버 스파이의 희생양이 될 위험에 처해 있습니다.

다운로드가 가장 많은 SpinOk 스파이웨어를 가지고 있는 것으로 밝혀진 애플리케이션은 다음과 같습니다.

• 최소 설치 수가 1억 건 이상인 동영상 편집기 Noizz입니다.
• 파일 전송 및 공유 애플리케이션인 Zapya는 또 다른 1억 설치를 기록했습니다.
• VFly(동영상 편집기 및 제작자), MVBit(MV 동영상 상태 제작자) 및 Biudo(동영상 편집기 및 제작자)는 각각 최소 5천만 설치를 기록했습니다.

SpinOk Malware는 Zapya의 여러 버전에 존재했지만 애플리케이션의 6.4.1 버전에서 제거되었다는 점을 지적해야 합니다.

널리 사용되는 이러한 응용 프로그램 내에 이 트로이 목마 모듈이 존재하면 사용자의 개인 정보 및 보안에 심각한 위협이 됩니다. 이러한 손상된 응용 프로그램과 관련된 잠재적 위험을 완화하려면 즉각적인 조치가 필요합니다.

SpinOk 모바일 악성코드는 유용한 기능을 위장하여 광범위한 민감한 데이터를 수집합니다.

SpinOk 모듈은 사용자에게 미니 게임, 작업 시스템, 상품 및 보상의 매력을 제공하는 응용 프로그램 내 매력적인 도구로 제시됩니다. 그러나 활성화되면 이 트로이 목마 소프트웨어 개발 키트(SDK)는 명령 및 제어(C&C) 서버와의 연결을 설정하고 감염된 장치에 대한 포괄적인 기술 세부 정보를 전송합니다. 이러한 세부 정보에는 자이로스코프 및 자력계와 같은 구성 요소의 센서 데이터가 포함되며, 에뮬레이터 환경을 식별하고 모듈의 동작을 조정하여 보안 연구원의 탐지를 피할 수 있습니다. 분석하는 동안 활동을 난독화하기 위해 트로이 목마 모듈은 장치 프록시 설정을 무시하고 네트워크 연결을 숨길 수 있습니다.

모듈은 C&C 서버와의 통신을 통해 URL 목록을 받은 다음 광고 배너를 표시하기 위해 WebView에 로드합니다. 동시에 이 트로이 목마 SDK는 로드된 웹 페이지 내에서 실행되는 손상된 JavaScript 코드의 기능을 향상시켜 프로세스에 다양한 기능을 도입합니다. 여기에는 지정된 디렉터리에 있는 파일에 액세스하고 열거하고, 장치에 특정 파일이나 디렉터리가 있는지 확인하고, 장치에서 파일을 검색하고, 클립보드의 내용을 조작하는 기능이 포함됩니다.

이러한 추가 기능은 트로이 목마 모듈의 운영자에게 사용자 장치에서 기밀 정보 및 파일을 획득할 수 있는 수단을 제공합니다. 예를 들어, SpinOk Trojan을 포함하는 응용 프로그램을 활용하여 액세스할 수 있는 파일을 조작할 수 있습니다. 공격자는 필요한 코드를 광고 배너의 HTML 페이지에 삽입하여 자신도 모르게 사용자로부터 중요한 데이터와 파일을 추출할 수 있도록 하여 이를 수행합니다.