SpinOk Mobile Malware

Cercetătorii în domeniul securității cibernetice au descoperit un modul software amenințător care vizează dispozitivele Android echipate cu capabilități spyware. Acest modul este urmărit ca SpinOk și funcționează prin colectarea de date sensibile referitoare la fișierele stocate pe dispozitivele afectate și are capacitatea de a transmite aceste informații unor entități cu minte răutăcioasă. În plus, poate înlocui și încărca conținut copiat în clipboard-ul dispozitivului, redirecționându-le către un server de la distanță controlat de atacatori.

SpinOk Malware a fost deghizat ca un kit de dezvoltare software (SDK) de marketing. Ca atare, poate fi încorporat de dezvoltatori în diverse aplicații și jocuri, inclusiv în cele ușor accesibile în Magazinul Google Play. Această metodă de distribuție permite modulului infectat cu spyware să se infiltreze potențial într-o gamă largă de software Android, reprezentând o amenințare semnificativă pentru confidențialitatea și securitatea utilizatorilor. Într-adevăr, conform experților infosec, aplicațiile Android infectate cu SpinOk au fost descărcate și instalate de peste 421 de milioane de ori.

SpinOk Malware a fost găsit injectat în numeroase aplicații din Magazinul Google Play

Modulul troian SpinOk, împreună cu mai multe variante ale acestuia, a fost identificat în numeroase aplicații distribuite prin Magazinul Google Play. În timp ce unele dintre aceste aplicații conțin încă kitul de dezvoltare software (SDK) compromis, altele îl aveau prezent în versiuni specifice sau au fost complet eliminate din magazin. Cu toate acestea, s-a descoperit că acest malware mobil a fost prezent într-un total de 101 de aplicații diferite, care au acumulat în mod colectiv peste 421.000.000 de descărcări. Drept urmare, un număr substanțial de proprietari de dispozitive Android, în valoare de sute de milioane, riscă să devină victimă spionajului cibernetic.

Printre aplicațiile găsite pentru a transporta software-ul spin SpinOk cu cele mai multe descărcări se numără:

• Un editor video Noizz cu minim 100 de milioane de instalări.
• O aplicație de transfer și partajare de fișiere, Zapya, cu încă 100 de milioane de instalări.
• VFly (editor și producător video), MVBit (producător de stare video MV) și Biudo (editor și producător video), fiecare cu un minim de 50 de milioane de instalări.

Trebuie subliniat că SpinOk Malware a fost prezent în mai multe versiuni de Zapya, dar a fost eliminat cu versiunea 6.4.1 a aplicației.

Prezența acestui modul troian în aceste aplicații utilizate pe scară largă reprezintă o amenințare semnificativă pentru confidențialitatea și securitatea utilizatorilor. Este necesară o acțiune imediată pentru a atenua riscurile potențiale asociate cu aceste aplicații compromise.

SpinOk Mobile Malware colectează o gamă largă de date sensibile sub masca unor funcționalități utile

Modulul SpinOk se prezintă ca un instrument captivant în cadrul aplicațiilor, oferind utilizatorilor mini-jocuri, sisteme de sarcini și atracția de premii și recompense. Cu toate acestea, la activare, acest Trojan Software Development Kit (SDK) stabilește o conexiune cu un server Command-and-Control (C&C) și transmite un set cuprinzător de detalii tehnice despre dispozitivul infectat. Aceste detalii includ datele senzorilor de la componente precum giroscopul și magnetometrul, care pot fi utilizate pentru a identifica mediile emulatoare și pentru a ajusta comportamentul modulului pentru a evita detectarea de către cercetătorii de securitate. Pentru a-și ofusca și mai mult activitățile în timpul analizei, modulul troian ignoră setările proxy ale dispozitivului, permițându-i să ascundă conexiunile la rețea.

Prin comunicarea cu serverul C&C, modulul primește o listă de URL-uri, pe care apoi le încarcă în WebView pentru a afișa bannere publicitare. Simultan, acest troian SDK îmbunătățește capacitățile unui cod JavaScript corupt executat în aceste pagini Web încărcate, introducând o serie de funcționalități în acest proces. Acestea includ capacitatea de a accesa și enumera fișiere din directoare specificate, de a verifica existența unor fișiere sau directoare specifice pe dispozitiv, de a prelua fișiere de pe dispozitiv și de a manipula conținutul clipboard-ului.

Aceste capabilități adăugate oferă operatorilor modulului troian mijloacele de a obține informații și fișiere confidențiale de pe dispozitivul utilizatorului. De exemplu, aplicațiile care încorporează troianul SpinOk pot fi utilizate pentru a manipula fișierele accesibile acestora. Atacatorii reușesc acest lucru inserând codul necesar în paginile HTML ale bannerelor publicitare, permițându-le să extragă date și fișiere sensibile de la utilizatorii neștiuți.