Zlonamerna programska oprema za mobilne naprave SpinOk

Raziskovalci kibernetske varnosti so odkrili nevaren programski modul, ki cilja na naprave Android, opremljene z vohunsko programsko opremo. Ta modul se sledi kot SpinOk in deluje tako, da zbira občutljive podatke, ki se nanašajo na datoteke, shranjene v prizadetih napravah, in ima možnost prenosa teh informacij zlobnim entitetam. Poleg tega lahko zamenja in naloži vsebino, kopirano v odložišče naprave, ter jo posreduje oddaljenemu strežniku, ki ga nadzirajo napadalci.

Zlonamerna programska oprema SpinOk je bila prikrita kot marketinški komplet za razvoj programske opreme (SDK). Kot takega ga lahko razvijalci vključijo v različne aplikacije in igre, vključno s tistimi, ki so zlahka dostopne v trgovini Google Play. Ta metoda distribucije omogoča modulu, okuženemu z vohunsko programsko opremo, potencialno infiltracijo v široko paleto programske opreme Android, kar predstavlja veliko grožnjo zasebnosti in varnosti uporabnikov. Po mnenju strokovnjakov za infosec so bile aplikacije za Android, okužene s SpinOk, prenesene in nameščene več kot 421-milijonkrat.

Zlonamerna programska oprema SpinOk je bila vbrizgana v številne aplikacije v trgovini Google Play

Trojanski modul SpinOk, skupaj z več njegovimi različicami, je bil identificiran v številnih aplikacijah, distribuiranih prek trgovine Google Play. Medtem ko nekatere od teh aplikacij še vedno vsebujejo ogrožen komplet za razvoj programske opreme (SDK), so ga druge imele v določenih različicah ali pa so bile v celoti odstranjene iz trgovine. Vendar pa je bilo ugotovljeno, da je bila ta mobilna zlonamerna programska oprema prisotna v skupno 101 različnih aplikacijah, ki so skupaj zbrale več kot 421.000.000 prenosov. Posledično je veliko število lastnikov naprav Android, na stotine milijonov, potencialno v nevarnosti, da postanejo žrtve kibernetskega vohunjenja.

Med aplikacijami, ki vsebujejo vohunsko programsko opremo SpinOk z največ prenosi, so:

• • Video urejevalnik Noizz z najmanj 100 milijoni namestitev.

• • Aplikacija za prenos in skupno rabo datotek, Zapya, z nadaljnjimi 100 milijoni namestitev.

• • VFly (urejevalnik in izdelovalec videa), MVBit (izdelovalec stanja videa MV) in Biudo (urejevalnik in izdelovalec videoposnetkov), vsak z najmanj 50 milijoni namestitev.

Treba je poudariti, da je bila zlonamerna programska oprema SpinOk prisotna v več različicah Zapye, vendar je bila odstranjena z različico aplikacije 6.4.1.

Prisotnost tega trojanskega modula v teh pogosto uporabljenih aplikacijah predstavlja veliko grožnjo zasebnosti in varnosti uporabnikov. Za zmanjšanje morebitnih tveganj, povezanih s temi ogroženimi aplikacijami, je potrebno takojšnje ukrepanje.

Mobilna zlonamerna programska oprema SpinOk zbira široko paleto občutljivih podatkov pod krinko uporabnih funkcij

Modul SpinOk se predstavlja kot privlačno orodje znotraj aplikacij, ki uporabnikom ponuja mini igre, sisteme nalog ter privlačnost nagrad in nagrad. Vendar pa po aktivaciji ta komplet za razvoj trojanske programske opreme (SDK) vzpostavi povezavo s strežnikom za ukazovanje in nadzor (C&C) in posreduje obsežen nabor tehničnih podrobnosti o okuženi napravi. Te podrobnosti vključujejo podatke senzorjev iz komponent, kot sta žiroskop in magnetometer, ki jih je mogoče uporabiti za identifikacijo okolij emulatorja in prilagajanje vedenja modula, da se izogne odkrivanju varnostnih raziskovalcev. Za dodatno zameglitev svojih dejavnosti med analizo trojanski modul ne upošteva nastavitev proxy naprave, kar mu omogoča prikrivanje omrežnih povezav.

Preko komunikacije s C&C strežnikom modul prejme seznam URL-jev, ki jih nato naloži v WebView za prikaz oglasnih pasic. Hkrati ta trojanski SDK izboljšuje zmožnosti poškodovane kode JavaScript, ki se izvaja znotraj teh naloženih spletnih strani, in v procesu uvaja vrsto funkcionalnosti. Ti vključujejo možnost dostopa in oštevilčenja datotek v določenih imenikih, preverjanje obstoja določenih datotek ali imenikov v napravi, pridobivanje datotek iz naprave in manipuliranje z vsebino odložišča.

Te dodane zmogljivosti operaterjem trojanskega modula zagotavljajo sredstva za pridobivanje zaupnih informacij in datotek iz uporabnikove naprave. Na primer, aplikacije, ki vključujejo trojanca SpinOk, se lahko uporabijo za manipulacijo datotek, ki so jim dostopne. Napadalci to dosežejo tako, da v strani HTML oglasnih pasic vstavijo potrebno kodo, kar jim omogoči pridobivanje občutljivih podatkov in datotek od nevede uporabnikov.