SpinOk mobiele malware

Onderzoekers op het gebied van cyberbeveiliging hebben een bedreigende softwaremodule ontdekt die zich richt op Android-apparaten die zijn uitgerust met spywaremogelijkheden. Deze module wordt gevolgd als SpinOk en werkt door gevoelige gegevens te verzamelen met betrekking tot bestanden die zijn opgeslagen op de getroffen apparaten en heeft de mogelijkheid om deze informatie door te geven aan boosaardige entiteiten. Bovendien kan het inhoud die naar het klembord van het apparaat is gekopieerd, vervangen en uploaden, en deze doorsturen naar een externe server die wordt beheerd door de aanvallers.

De SpinOk Malware is vermomd als een marketing Software Development Kit (SDK). Als zodanig kan het door ontwikkelaars worden opgenomen in verschillende applicaties en games, inclusief die gemakkelijk toegankelijk zijn in de Google Play Store. Door deze distributiemethode kan de met spyware geïnfecteerde module mogelijk een breed scala aan Android-software infiltreren, wat een aanzienlijke bedreiging vormt voor de privacy en veiligheid van gebruikers. Volgens infosec-experts zijn met SpinOk geïnfecteerde Android-applicaties meer dan 421 miljoen keer gedownload en geïnstalleerd.

De SpinOk-malware is geïnjecteerd in tal van applicaties in de Google Play Store

De SpinOk trojan-module, samen met verschillende varianten ervan, is geïdentificeerd in tal van applicaties die via de Google Play Store worden verspreid. Hoewel sommige van deze applicaties nog steeds de gecompromitteerde Software Development Kit (SDK) bevatten, hadden andere deze in specifieke versies of zijn ze volledig uit de winkel verwijderd. Er is echter ontdekt dat deze mobiele malware aanwezig is in in totaal 101 verschillende applicaties, die samen meer dan 421.000.000 downloads hebben opgeleverd. Als gevolg hiervan loopt een aanzienlijk aantal eigenaren van Android-apparaten, in totaal honderden miljoenen, mogelijk het risico het slachtoffer te worden van cyberspionage.

Onder de toepassingen waarvan is vastgesteld dat ze de SpinOk-spyware met de meeste downloads bevatten, zijn:

• • Een video-editor Noizz met minimaal 100 miljoen installaties.

• • Een applicatie voor bestandsoverdracht en delen, Zapya, met nog eens 100 miljoen installaties.

• • VFly (video-editor en maker), MVBit (MV-videostatusmaker) en Biudo (video-editor en maker) elk met minimaal 50 miljoen installaties.

Er moet op worden gewezen dat de SpinOk-malware aanwezig was in verschillende versies van Zapya, maar is verwijderd met de 6.4.1-versie van de applicatie.

De aanwezigheid van deze Trojan-module in deze veelgebruikte applicaties vormt een aanzienlijke bedreiging voor de privacy en veiligheid van gebruikers. Onmiddellijke actie is vereist om de potentiële risico's van deze gecompromitteerde applicaties te beperken.

De SpinOk Mobile Malware verzamelt een breed scala aan gevoelige gegevens onder het mom van nuttige functionaliteiten

De SpinOk-module presenteert zichzelf als een boeiende tool binnen applicaties en biedt gebruikers minigames, taaksystemen en de allure van prijzen en beloningen. Na activering brengt deze Trojan Software Development Kit (SDK) echter een verbinding tot stand met een Command-and-Control (C&C)-server en verzendt een uitgebreide set technische details over het geïnfecteerde apparaat. Deze details omvatten sensorgegevens van componenten zoals de gyroscoop en magnetometer, die kunnen worden gebruikt om emulatoromgevingen te identificeren en het gedrag van de module aan te passen om detectie door beveiligingsonderzoekers te omzeilen. Om zijn activiteiten tijdens de analyse verder te verdoezelen, negeert de Trojan-module de proxy-instellingen van het apparaat, waardoor netwerkverbindingen verborgen kunnen blijven.

Door de communicatie met de C&C-server ontvangt de module een lijst met URL's, die vervolgens in WebView worden geladen om reclamebanners weer te geven. Tegelijkertijd verbetert deze Trojaanse SDK de mogelijkheden van een beschadigde JavaScript-code die wordt uitgevoerd binnen deze geladen webpagina's, waarbij een reeks functionaliteiten in het proces wordt geïntroduceerd. Deze omvatten de mogelijkheid om bestanden in gespecificeerde mappen te openen en op te sommen, te controleren op het bestaan van specifieke bestanden of mappen op het apparaat, bestanden van het apparaat op te halen en de inhoud van het klembord te manipuleren.

Deze toegevoegde mogelijkheden bieden de operators van de Trojaanse module de middelen om vertrouwelijke informatie en bestanden van het apparaat van de gebruiker te verkrijgen. Toepassingen die de SpinOk-trojan bevatten, kunnen bijvoorbeeld worden gebruikt om de voor hen toegankelijke bestanden te manipuleren. De aanvallers bereiken dit door de benodigde code in de HTML-pagina's van de advertentiebanners te plaatsen, waardoor ze gevoelige gegevens en bestanden van onwetende gebruikers kunnen extraheren.