SpinOk Mobile Malware

Výskumníci v oblasti kybernetickej bezpečnosti odhalili hrozivý softvérový modul zameraný na zariadenia so systémom Android vybavené funkciami spywaru. Tento modul je sledovaný ako SpinOk a funguje tak, že zhromažďuje citlivé údaje týkajúce sa súborov uložených na postihnutých zariadeniach a má schopnosť prenášať tieto informácie zlým entitám. Okrem toho môže nahradiť a nahrať obsah skopírovaný do schránky zariadenia a poslať ho na vzdialený server ovládaný útočníkmi.

Malvér SpinOk bol zamaskovaný ako marketingová súprava na vývoj softvéru (SDK). Ako taký ho môžu vývojári začleniť do rôznych aplikácií a hier vrátane tých, ktoré sú ľahko dostupné v obchode Google Play. Táto metóda distribúcie umožňuje modulu infikovanému spywarom potenciálne infiltrovať širokú škálu softvéru Android, čo predstavuje významnú hrozbu pre súkromie a bezpečnosť používateľov. Podľa odborníkov z Infosec boli aplikácie pre Android infikované SpinOk stiahnuté a nainštalované viac ako 421 miliónov krát.

Malvér SpinOk bol nájdený vstreknutý do mnohých aplikácií v obchode Google Play

Modul trójskeho koňa SpinOk spolu s niekoľkými jeho variáciami bol identifikovaný v mnohých aplikáciách distribuovaných prostredníctvom obchodu Google Play. Zatiaľ čo niektoré z týchto aplikácií stále obsahujú kompromitovanú súpravu Software Development Kit (SDK), iné ju mali k dispozícii v špecifických verziách alebo boli úplne odstránené z obchodu. Zistilo sa však, že tento mobilný malvér bol prítomný celkovo v 101 rôznych aplikáciách, ktoré spoločne nazhromaždili viac ako 421 000 000 stiahnutí. Výsledkom je, že značný počet vlastníkov zariadení s Androidom, ktorý predstavuje stovky miliónov, je potenciálne vystavený riziku, že sa stanú obeťou kybernetickej špionáže.

Medzi aplikáciami, u ktorých sa zistilo, že nesú spyware SpinOk s najväčším počtom stiahnutí, sú:

• Video editor Noizz s minimálne 100 miliónmi inštalácií.
• Aplikácia na prenos a zdieľanie súborov, Zapya, s ďalšími 100 miliónmi inštalácií.
• VFly (editor a tvorca videa), MVBit (tvorca stavu videa MV) a Biudo (editor a tvorca videa), každý s minimálne 50 miliónmi inštalácií.

Malo by sa zdôrazniť, že malvér SpinOk bol prítomný v niekoľkých verziách Zapya, ale bol odstránený s verziou aplikácie 6.4.1.

Prítomnosť tohto trojanového modulu v týchto široko používaných aplikáciách predstavuje významnú hrozbu pre súkromie a bezpečnosť používateľov. Na zmiernenie potenciálnych rizík spojených s týmito napadnutými aplikáciami je potrebná okamžitá akcia.

Malvér SpinOk Mobile zhromažďuje široký rozsah citlivých údajov pod rúškom užitočných funkcií

Modul SpinOk sa prezentuje ako pútavý nástroj v rámci aplikácií, ktorý používateľom ponúka minihry, systémy úloh a príťažlivosť cien a odmien. Po aktivácii však tento Trojan Software Development Kit (SDK) vytvorí spojenie so serverom Command-and-Control (C&C) a odošle komplexný súbor technických podrobností o infikovanom zariadení. Tieto podrobnosti zahŕňajú údaje zo senzorov z komponentov, ako je gyroskop a magnetometer, ktoré možno použiť na identifikáciu prostredí emulátora a úpravu správania modulu, aby sa vyhli detekcii bezpečnostnými výskumníkmi. Aby sa ešte viac zahmlili jeho aktivity počas analýzy, trójsky kôň ignoruje nastavenia proxy zariadenia a umožňuje mu skryť sieťové pripojenia.

Komunikáciou so serverom C&C modul získava zoznam URL adries, ktoré následne načíta do WebView pre zobrazenie reklamných bannerov. Súčasne tento Trojan SDK vylepšuje možnosti poškodeného kódu JavaScript spusteného v rámci týchto načítaných webových stránok, pričom do procesu zavádza celý rad funkcií. Patrí medzi ne možnosť pristupovať k súborom v určených adresároch a ich zoznam, kontrolovať existenciu konkrétnych súborov alebo adresárov v zariadení, získavať súbory zo zariadenia a manipulovať s obsahom schránky.

Tieto pridané funkcie poskytujú operátorom modulu Trojan prostriedky na získanie dôverných informácií a súborov zo zariadenia používateľa. Napríklad aplikácie obsahujúce trójsky kôň SpinOk možno využiť na manipuláciu so súbormi, ktoré majú k dispozícii. Útočníci to dosahujú vložením potrebného kódu do HTML stránok reklamných bannerov, čo im umožní extrahovať citlivé dáta a súbory z nevedomých používateľov.