Мобильные вредоносные программы SpinOk

Исследователи кибербезопасности обнаружили опасный программный модуль, нацеленный на устройства Android, оснащенные шпионскими возможностями. Этот модуль отслеживается как SpinOk и работает путем сбора конфиденциальных данных, относящихся к файлам, хранящимся на затронутых устройствах, и обладает способностью передавать эту информацию злонамеренным сущностям. Кроме того, он может заменять и загружать содержимое, скопированное в буфер обмена устройства, пересылая его на удаленный сервер, контролируемый злоумышленниками.

Вредоносное ПО SpinOk было замаскировано под маркетинговый комплект для разработки программного обеспечения (SDK). Таким образом, разработчики могут включать его в различные приложения и игры, в том числе легко доступные в магазине Google Play. Этот метод распространения позволяет зараженному шпионским ПО модулю потенциально проникать в широкий спектр программного обеспечения Android, создавая серьезную угрозу конфиденциальности и безопасности пользователей. Действительно, по данным экспертов информационной безопасности, Android-приложения, зараженные SpinOk, были загружены и установлены более 421 миллиона раз.

Вредоносная программа SpinOk была обнаружена в многочисленных приложениях в магазине Google Play.

Троянский модуль SpinOk вместе с несколькими его вариациями был обнаружен в многочисленных приложениях, распространяемых через Google Play Store. Хотя некоторые из этих приложений по-прежнему содержат скомпрометированный пакет средств разработки программного обеспечения (SDK), в других он присутствовал в определенных версиях или был полностью удален из магазина. Однако было обнаружено, что это мобильное вредоносное ПО присутствовало в общей сложности в 101 различном приложении, общее количество загрузок которых превысило 421 000 000. В результате значительное число владельцев Android-устройств, насчитывающее сотни миллионов человек, потенциально рискует стать жертвой кибершпионажа.

Среди приложений, содержащих шпионское ПО SpinOk с наибольшим количеством загрузок, следующие:

• • Видеоредактор Noizz с минимальным количеством установок 100 миллионов.

• • Приложение для передачи и обмена файлами, Zapya, установили еще 100 миллионов раз.

• • VFly (редактор и создатель видео), MVBit (создатель статуса видео MV) и Biudo (редактор и создатель видео), у каждого из которых не менее 50 миллионов установок.

Следует отметить, что вредоносное ПО SpinOk присутствовало в нескольких версиях Zapya, но было удалено в версии приложения 6.4.1.

Присутствие этого троянского модуля в этих широко используемых приложениях представляет серьезную угрозу конфиденциальности и безопасности пользователей. Требуются немедленные действия для снижения потенциальных рисков, связанных с этими скомпрометированными приложениями.

Мобильная вредоносная программа SpinOk собирает широкий спектр конфиденциальных данных под видом полезных функций

Модуль SpinOk представляет собой привлекательный инструмент в приложениях, предлагая пользователям мини-игры, системы задач и очарование призов и вознаграждений. Однако после активации этот троянский пакет разработки программного обеспечения (SDK) устанавливает соединение с сервером управления и контроля (C&C) и передает полный набор технических сведений о зараженном устройстве. Эти детали включают данные датчиков от таких компонентов, как гироскоп и магнитометр, которые можно использовать для идентификации среды эмулятора и настройки поведения модуля, чтобы избежать обнаружения исследователями безопасности. Чтобы еще больше запутать свою деятельность при анализе, троянский модуль игнорирует настройки прокси-сервера устройства, что позволяет ему скрывать сетевые подключения.

Через связь с C&C-сервером модуль получает список URL-адресов, который затем загружает в WebView для отображения рекламных баннеров. Одновременно этот троянский SDK расширяет возможности поврежденного кода JavaScript, выполняемого на этих загруженных веб-страницах, добавляя в процесс ряд функциональных возможностей. К ним относятся возможность доступа и перечисления файлов в указанных каталогах, проверка существования определенных файлов или каталогов на устройстве, извлечение файлов с устройства и управление содержимым буфера обмена.

Эти дополнительные возможности предоставляют операторам троянского модуля средства для получения конфиденциальной информации и файлов с устройства пользователя. Например, приложения, содержащие троян SpinOk, могут использоваться для манипулирования доступными им файлами. Для этого злоумышленники вставляют необходимый код в HTML-страницы рекламных баннеров, что позволяет им извлекать конфиденциальные данные и файлы у ничего не подозревающих пользователей.