„SpinOk Mobile“ kenkėjiška programa

Kibernetinio saugumo tyrėjai atskleidė grėsmingą programinės įrangos modulį, nukreiptą į „Android“ įrenginius, kuriuose yra šnipinėjimo programų. Šis modulis stebimas kaip SpinOk ir veikia rinkdamas neskelbtinus duomenis, susijusius su failais, saugomais paveiktuose įrenginiuose, ir turi galimybę perduoti šią informaciją pikto proto subjektams. Be to, jis gali pakeisti ir įkelti turinį, nukopijuotą į įrenginio mainų sritį, persiunčiant jį į nuotolinį serverį, kurį kontroliuoja užpuolikai.

„SpinOk“ kenkėjiška programa buvo užmaskuota kaip rinkodaros programinės įrangos kūrimo rinkinys (SDK). Kūrėjai gali jį įtraukti į įvairias programas ir žaidimus, įskaitant tuos, kurie lengvai pasiekiami „Google Play“ parduotuvėje. Šis platinimo būdas leidžia šnipinėjimo programa užkrėstam moduliui potencialiai įsiskverbti į platų „Android“ programinės įrangos spektrą, sukeldamas didelę grėsmę vartotojų privatumui ir saugumui. Iš tiesų, pasak infosec ekspertų, SpinOk užkrėstos Android programos buvo atsisiųstos ir įdiegtos daugiau nei 421 milijoną kartų.

„SpinOk“ kenkėjiška programa buvo rasta įterpta į daugybę „Google Play“ parduotuvės programų

Trojos arklys „SpinOk“ modulis ir keli jo variantai buvo identifikuoti daugelyje „Google Play“ parduotuvėje platinamų programų. Nors kai kuriose iš šių programų vis dar yra pažeistas programinės įrangos kūrimo rinkinys (SDK), kitose jis buvo tam tikrose versijose arba buvo visiškai pašalintas iš parduotuvės. Tačiau buvo nustatyta, kad ši mobilioji kenkėjiška programa buvo iš viso 101 skirtingoje programoje, kurios kartu surinko daugiau nei 421 000 000 atsisiuntimų. Dėl to daugeliui „Android“ įrenginių savininkų, siekiančių šimtus milijonų, gali kilti pavojus tapti kibernetinio šnipinėjimo aukomis.

Tarp programų, kurios turi daugiausiai atsisiunčiamų SpinOk šnipinėjimo programų, yra šios:

• Vaizdo įrašų rengyklė „Noizz“, įdiegta mažiausiai 100 mln.
• Failų perdavimo ir bendrinimo programa Zapya su dar 100 mln. įdiegimų.
• „VFly“ (vaizdo įrašų rengyklė ir kūrėjas), MVBit (MV vaizdo įrašų būsenos kūrėjas) ir „Biudo“ (vaizdo įrašų rengyklė ir kūrėjas), kurių kiekvienas įdiegtas mažiausiai 50 mln.

Reikėtų pažymėti, kad SpinOk kenkėjiška programa buvo keliose Zapya versijose, bet buvo pašalinta naudojant 6.4.1 programos versiją.

Šio Trojos arklys modulio buvimas šiose plačiai naudojamose programose kelia didelę grėsmę vartotojų privatumui ir saugumui. Reikia nedelsiant imtis veiksmų, kad būtų sumažinta galima rizika, susijusi su šiomis pažeistomis programomis.

„SpinOk Mobile“ kenkėjiška programa, prisidengdama naudingomis funkcijomis, renka daugybę jautrių duomenų

„SpinOk“ modulis pristatomas kaip įtraukiantis įrankis programose, siūlantis vartotojams mini žaidimus, užduočių sistemas ir prizų bei apdovanojimų žavesį. Tačiau po aktyvinimo šis Trojos programinės įrangos kūrimo rinkinys (SDK) užmezga ryšį su komandų ir valdymo (C&C) serveriu ir perduoda išsamų techninės informacijos apie užkrėstą įrenginį rinkinį. Ši informacija apima jutiklių duomenis iš komponentų, tokių kaip giroskopas ir magnetometras, kurie gali būti naudojami emuliatoriaus aplinkai nustatyti ir modulio elgsenai koreguoti, kad saugumo tyrinėtojai neaptiktų. Siekdamas dar labiau aptemdyti savo veiklą analizės metu, Trojos arklys nepaiso įrenginio tarpinio serverio nustatymų ir leidžia nuslėpti tinklo ryšius.

Per savo ryšį su C&C serveriu modulis gauna URL sąrašą, kurį įkelia į WebView, kad būtų rodomos reklaminės juostos. Kartu šis Trojos arklys SDK padidina sugadinto JavaScript kodo, vykdomo šiuose įkeltuose tinklalapiuose, galimybes, įtraukdamas į procesą daugybę funkcijų. Tai apima galimybę pasiekti ir išvardyti failus nurodytuose kataloguose, patikrinti, ar įrenginyje nėra konkrečių failų ar katalogų, gauti failus iš įrenginio ir manipuliuoti mainų srities turiniu.

Šios papildomos galimybės suteikia Trojan modulio operatoriams galimybę gauti konfidencialią informaciją ir failus iš vartotojo įrenginio. Pavyzdžiui, programos, kuriose yra „SpinOk Trojos arklys“, gali būti naudojamos manipuliuoti joms pasiekiamais failais. Užpuolikai tai pasiekia įterpdami reikiamą kodą į reklaminių antraščių HTML puslapius, kad galėtų iš nesąmoningų vartotojų išgauti neskelbtinus duomenis ir failus.