Mobilne złośliwe oprogramowanie SpinOk

Analitycy cyberbezpieczeństwa odkryli groźny moduł oprogramowania atakujący urządzenia z Androidem wyposażone w funkcje spyware. Moduł ten jest śledzony jako SpinOk i działa poprzez zbieranie poufnych danych dotyczących plików przechowywanych na zagrożonych urządzeniach i posiada zdolność przesyłania tych informacji do złych istot. Dodatkowo może podmieniać i przesyłać treści skopiowane do schowka urządzenia, przesyłając je na zdalny serwer kontrolowany przez atakujących.

Złośliwe oprogramowanie SpinOk zostało zamaskowane jako marketingowy zestaw programistyczny (SDK). W związku z tym może być włączany przez programistów do różnych aplikacji i gier, w tym tych łatwo dostępnych w sklepie Google Play. Ta metoda dystrybucji umożliwia zainfekowanemu spyware modułowi potencjalną infiltrację szerokiej gamy oprogramowania Androida, stwarzając poważne zagrożenie dla prywatności i bezpieczeństwa użytkowników. Rzeczywiście, według ekspertów infosec, zainfekowane przez SpinOk aplikacje na Androida zostały pobrane i zainstalowane ponad 421 milionów razy.

Złośliwe oprogramowanie SpinOk zostało znalezione w wielu aplikacjach w sklepie Google Play

Moduł trojana SpinOk wraz z kilkoma jego odmianami został zidentyfikowany w wielu aplikacjach dystrybuowanych za pośrednictwem sklepu Google Play. Podczas gdy niektóre z tych aplikacji nadal zawierają skompromitowany pakiet Software Development Kit (SDK), inne miały go w określonych wersjach lub zostały całkowicie usunięte ze sklepu. Odkryto jednak, że to mobilne szkodliwe oprogramowanie było obecne w łącznie 101 różnych aplikacjach, które łącznie zgromadziły ponad 421 000 000 pobrań. W rezultacie znaczna liczba posiadaczy urządzeń z Androidem, licząca setki milionów, jest potencjalnie narażona na ryzyko stania się ofiarą cyberszpiegostwa.

Wśród najczęściej pobieranych aplikacji zawierających oprogramowanie szpiegowskie SpinOk znajdują się:

• • Edytor wideo Noizz z co najmniej 100 milionami instalacji.

• • Aplikacja do przesyłania i udostępniania plików, Zapya, z kolejnymi 100 milionami instalacji.

• • VFly (edytor i twórca wideo), MVBit (twórca statusu wideo MV) i Biudo (edytor i twórca wideo), każdy z co najmniej 50 milionami instalacji.

Należy zaznaczyć, że SpinOk Malware był obecny w kilku wersjach Zapya, ale został usunięty wraz z wersją 6.4.1 aplikacji.

Obecność tego modułu trojana w tych powszechnie używanych aplikacjach stanowi poważne zagrożenie dla prywatności i bezpieczeństwa użytkowników. Konieczne jest podjęcie natychmiastowych działań w celu ograniczenia potencjalnych zagrożeń związanych z tymi zagrożonymi aplikacjami.

Mobilne złośliwe oprogramowanie SpinOk zbiera szeroki zakres wrażliwych danych pod przykrywką przydatnych funkcji

Moduł SpinOk prezentuje się jako angażujące narzędzie w aplikacjach, oferując użytkownikom mini-gry, systemy zadań i urok nagród. Jednak po aktywacji ten trojan Software Development Kit (SDK) ustanawia połączenie z serwerem Command-and-Control (C&C) i przesyła kompleksowy zestaw szczegółów technicznych dotyczących zainfekowanego urządzenia. Te szczegóły obejmują dane czujników z komponentów takich jak żyroskop i magnetometr, które można wykorzystać do identyfikacji środowisk emulatorów i dostosowania zachowania modułu, aby uniknąć wykrycia przez badaczy bezpieczeństwa. Aby jeszcze bardziej zaciemnić swoje działania podczas analizy, moduł trojana ignoruje ustawienia proxy urządzenia, umożliwiając mu ukrywanie połączeń sieciowych.

Poprzez komunikację z serwerem C&C moduł otrzymuje listę adresów URL, które następnie ładuje do WebView w celu wyświetlenia banerów reklamowych. Jednocześnie ten pakiet SDK trojana zwiększa możliwości uszkodzonego kodu JavaScript wykonywanego na tych załadowanych stronach internetowych, wprowadzając szereg funkcjonalności w tym procesie. Obejmują one możliwość uzyskiwania dostępu i wyliczania plików w określonych katalogach, sprawdzania istnienia określonych plików lub katalogów na urządzeniu, pobierania plików z urządzenia i manipulowania zawartością schowka.

Te dodatkowe możliwości zapewniają operatorom modułu trojana środki do pozyskiwania poufnych informacji i plików z urządzenia użytkownika. Na przykład aplikacje zawierające trojana SpinOk można wykorzystać do manipulowania dostępnymi dla nich plikami. Atakujący osiągają to poprzez wstawienie niezbędnego kodu do stron HTML banerów reklamowych, co umożliwia im wydobycie poufnych danych i plików od nieświadomych użytkowników.