Threat Database Mobile Malware SpinOk Mobile Malware

SpinOk Mobile Malware

Pesquisadores de segurança cibernética descobriram um módulo de software ameaçador direcionado a dispositivos Android equipados com recursos de spyware. Este módulo é rastreado como SpinOk e opera coletando dados confidenciais pertencentes a arquivos armazenados nos dispositivos afetados e possui a capacidade de transmitir essas informações a entidades mal-intencionadas. Além disso, ele pode substituir e fazer upload de conteúdos copiados para a área de transferência do dispositivo, encaminhando-os para um servidor remoto controlado pelos invasores.

O SpinOk Malware foi disfarçado como um kit de desenvolvimento de software (SDK) de marketing. Como tal, pode ser incorporado por desenvolvedores em vários aplicativos e jogos, incluindo aqueles facilmente acessíveis na Google Play Store. Esse método de distribuição permite que o módulo infectado por spyware se infiltre potencialmente em uma ampla gama de software Android, representando uma ameaça significativa à privacidade e segurança do usuário. De fato, de acordo com especialistas em infosec, aplicativos Android infectados pelo SpinOk foram baixados e instalados mais de 421 milhões de vezes.

O SpinOk Malware foi Encontrado Injetado em Vários Aplicativos na Loja do Google Play

O módulo SpinOk trojan, junto com diversas variações dele, foi identificado em vários aplicativos distribuídos pela Google Play Store. Embora alguns desses aplicativos ainda contenham o Software Development Kit (SDK) comprometido, outros o apresentavam em versões específicas ou foram totalmente removidos da loja. No entanto, descobriu-se que esse malware móvel está presente em um total de 101 aplicativos diferentes, que acumularam coletivamente mais de 421 milhões de downloads. Como resultado, um número substancial de proprietários de dispositivos Android, chegando a centenas de milhões, corre o risco de ser vítima de espionagem cibernética.

Entre os aplicativos que carregam o spyware SpinOk com mais downloads estão:

    • Um editor de vídeo Noizz com um mínimo de 100 milhões de instalações.
    • Um aplicativo de transferência e compartilhamento de arquivos, Zapya, com mais 100 milhões de instalações.
    • VFly (criador e editor de vídeo), MVBit (criador de status de vídeo MV) e Biudo (editor e criador de vídeo), cada um com um mínimo de 50 milhões de instalações.

Vale ressaltar que o SpinOk Malware estava presente em várias versões do Zapya, mas foi removido com a versão 6.4.1 do aplicativo.

A presença desse módulo Trojan nesses aplicativos amplamente usados representa uma ameaça significativa à privacidade e segurança dos usuários. É necessária uma ação imediata para mitigar os riscos potenciais associados a esses aplicativos comprometidos.

O SpinOk Mobile Malware Coleta uma Ampla Gama de Dados Confidenciais sob o Disfarce de Funcionalidades Úteis

O módulo SpinOk se apresenta como uma ferramenta envolvente dentro dos aplicativos, oferecendo aos usuários mini-jogos, sistemas de tarefas e o fascínio de prêmios e recompensas. No entanto, após a ativação, este Trojan Software Development Kit (SDK) estabelece uma conexão com um servidor de comando e controle (C&C) e transmite um conjunto abrangente de detalhes técnicos sobre o dispositivo infectado. Esses detalhes incluem dados do sensor de componentes como o giroscópio e o magnetômetro, que podem ser utilizados para identificar ambientes de emulador e ajustar o comportamento do módulo para evitar a detecção por pesquisadores de segurança. Para ofuscar ainda mais suas atividades durante a análise, o módulo Trojan desconsidera as configurações de proxy do dispositivo, permitindo que ele oculte as conexões de rede.

Por meio de sua comunicação com o servidor C&C, o módulo recebe uma lista de URLs, que carrega no WebView para exibir banners publicitários. Simultaneamente, esse Trojan SDK aprimora os recursos de um código JavaScript corrompido executado nessas páginas da Web carregadas, introduzindo uma variedade de funcionalidades no processo. Isso inclui a capacidade de acessar e enumerar arquivos em diretórios especificados, verificar a existência de arquivos ou diretórios específicos no dispositivo, recuperar arquivos do dispositivo e manipular o conteúdo da área de transferência.

Esses recursos adicionais fornecem aos operadores do módulo Trojan os meios para adquirir informações e arquivos confidenciais do dispositivo do usuário. Por exemplo, os aplicativos que incorporam o Trojan SpinOk podem ser aproveitados para manipular os arquivos acessíveis a eles. Os invasores conseguem isso inserindo o código necessário nas páginas HTML dos banners de propaganda, permitindo que eles extraiam dados e arquivos confidenciais de usuários involuntários.

Tendendo

Mais visto

Carregando...