SpinOk Mobile ļaunprātīga programmatūra

Kiberdrošības pētnieki ir atklājuši draudošu programmatūras moduli, kas vērsta uz Android ierīcēm, kas aprīkotas ar spiegprogrammatūras iespējām. Šis modulis tiek izsekots kā SpinOk, un tas darbojas, apkopojot sensitīvus datus par failiem, kas glabājas ietekmētajās ierīcēs, un tam ir iespēja pārsūtīt šo informāciju ļaundabīgām struktūrām. Turklāt tas var aizstāt un augšupielādēt saturu, kas kopēts ierīces starpliktuvē, pārsūtot to uz attālo serveri, ko kontrolē uzbrucēji.

SpinOk ļaunprogrammatūra ir slēpta kā mārketinga programmatūras izstrādes komplekts (SDK). Izstrādātāji to var iekļaut dažādās lietojumprogrammās un spēlēs, tostarp tajās, kas ir viegli pieejamas Google Play veikalā. Šī izplatīšanas metode ļauj ar spiegprogrammatūru inficētam modulim potenciāli iefiltrēties plašā Android programmatūras klāstā, radot nopietnus draudus lietotāju privātumam un drošībai. Patiešām, saskaņā ar infosec ekspertu datiem, ar SpinOk inficētās Android lietojumprogrammas ir lejupielādētas un instalētas vairāk nekā 421 miljonu reižu.

SpinOk ļaunprogrammatūra tika atrasta daudzās Google Play veikala lietojumprogrammās

Trojas zirgu modulis SpinOk kopā ar vairākām tā variācijām ir identificēts daudzās Google Play veikalā izplatītajās lietojumprogrammās. Lai gan dažās no šīm lietojumprogrammām joprojām ir apdraudētais programmatūras izstrādes komplekts (SDK), citām tas bija noteiktās versijās vai ir pilnībā izņemtas no veikala. Tomēr ir atklāts, ka šī mobilā ļaunprogrammatūra ir bijusi kopā 101 dažādās lietojumprogrammās, kuras kopā ir uzkrājušas vairāk nekā 421 000 000 lejupielāžu. Rezultātā ievērojams skaits Android ierīču īpašnieku, kas sasniedz simtiem miljonu, potenciāli var kļūt par kiberspiegošanas upuriem.

Starp lietojumprogrammām, kas satur visvairāk lejupielādes SpinOk spiegprogrammatūru, ir šādas:

• • Video redaktors Noizz ar vismaz 100 miljoniem instalēšanas gadījumu.

• • Failu pārsūtīšanas un koplietošanas lietojumprogramma Zapya ar vēl 100 miljoniem instalēšanas gadījumu.

• • VFly (video redaktors un veidotājs), MVBit (MV video statusa veidotājs) un Biudo (video redaktors un veidotājs) katrs ar vismaz 50 miljoniem instalēšanas gadījumu.

Jānorāda, ka SpinOk ļaunprātīgā programmatūra bija vairākās Zapya versijās, taču tā tika noņemta līdz ar lietojumprogrammas versiju 6.4.1.

Šī Trojas moduļa klātbūtne šajās plaši izmantotajās lietojumprogrammās nopietni apdraud lietotāju privātumu un drošību. Nepieciešama tūlītēja rīcība, lai mazinātu iespējamos riskus, kas saistīti ar šīm apdraudētajām lietojumprogrammām.

SpinOk mobilā ļaunprogrammatūra noderīgu funkciju aizsegā apkopo plašu sensitīvu datu klāstu

SpinOk modulis tiek parādīts kā saistošs rīks lietojumprogrammās, piedāvājot lietotājiem mini spēles, uzdevumu sistēmas un balvas un atlīdzības. Tomēr pēc aktivizēšanas šis Trojas programmatūras izstrādes komplekts (SDK) izveido savienojumu ar Command-and-Control (C&C) serveri un pārsūta visaptverošu tehnisko informāciju par inficēto ierīci. Šī informācija ietver sensoru datus no tādiem komponentiem kā žiroskops un magnetometrs, ko var izmantot, lai identificētu emulatora vidi un pielāgotu moduļa uzvedību, lai izvairītos no drošības pētnieku atklāšanas. Lai analīzes laikā vēl vairāk aptumšotu savas darbības, Trojas modulis neņem vērā ierīces starpniekservera iestatījumus, ļaujot tam slēpt tīkla savienojumus.

Sazinoties ar C&C serveri, modulis saņem URL sarakstu, ko pēc tam ielādē WebView, lai parādītu reklāmas banerus. Vienlaikus šis Trojas SDK uzlabo bojāta JavaScript koda iespējas, kas tiek izpildīts šajās ielādētajās tīmekļa lapās, ieviešot šajā procesā virkni funkcionalitātes. Tie ietver iespēju piekļūt failiem noteiktos direktorijos un tos uzskaitīt, pārbaudīt, vai ierīcē nav konkrētu failu vai direktoriju, izgūt failus no ierīces un manipulēt ar starpliktuves saturu.

Šīs pievienotās iespējas nodrošina Trojas moduļa operatoriem līdzekļus konfidenciālas informācijas un failu iegūšanai no lietotāja ierīces. Piemēram, lietojumprogrammas, kurās ir iekļauts SpinOk Trojas zirgs, var izmantot, lai manipulētu ar tiem pieejamajiem failiem. Uzbrucēji to panāk, ievietojot nepieciešamo kodu reklāmu reklāmkarogu HTML lapās, ļaujot tiem izvilkt sensitīvus datus un failus no neapzinātiem lietotājiem.