SpinOk Mobile Malware

Studiuesit e sigurisë kibernetike kanë zbuluar një modul softuerik kërcënues që synon pajisjet Android të pajisura me aftësi spyware. Ky modul gjurmohet si SpinOk dhe funksionon duke mbledhur të dhëna të ndjeshme që kanë të bëjnë me skedarët e ruajtur në pajisjet e prekura dhe zotëron aftësinë për t'ia transmetuar këtë informacion subjekteve me mendje të liga. Për më tepër, ai mund të zëvendësojë dhe ngarkojë përmbajtjen e kopjuar në kujtesën e pajisjes, duke i përcjellë ato në një server në distancë të kontrolluar nga sulmuesit.

Malware SpinOk është maskuar si një Kit i Zhvillimit të Softuerit të marketingut (SDK). Si i tillë, ai mund të përfshihet nga zhvilluesit në aplikacione dhe lojëra të ndryshme, duke përfshirë ato që janë lehtësisht të aksesueshme në Dyqanin Google Play. Kjo metodë e shpërndarjes lejon që moduli i infektuar me spyware të infiltrojë potencialisht një gamë të gjerë softuerësh Android, duke paraqitur një kërcënim të rëndësishëm për privatësinë dhe sigurinë e përdoruesit. Në të vërtetë, sipas ekspertëve të infosec, aplikacionet Android të infektuara me SpinOk janë shkarkuar dhe instaluar mbi 421 milionë herë.

Malware SpinOk u gjet i injektuar në aplikacione të shumta në Google Play Store

Moduli trojan SpinOk, së bashku me disa variacione të tij, është identifikuar brenda aplikacioneve të shumta të shpërndara përmes Google Play Store. Ndërsa disa nga këto aplikacione përmbajnë ende Kompletin e Zhvillimit të Softuerit (SDK) të komprometuar, të tjerët e kishin atë të pranishëm në versione specifike ose janë hequr tërësisht nga dyqani. Megjithatë, është zbuluar se ky malware celular ka qenë i pranishëm në gjithsej 101 aplikacione të ndryshme, të cilat së bashku kanë grumbulluar mbi 421,000,000 shkarkime. Si rezultat, një numër i konsiderueshëm i pronarëve të pajisjeve Android, që arrin në qindra miliona, janë potencialisht në rrezik të bien viktimë e spiunazhit kibernetik.

Ndër aplikacionet e gjetura që mbajnë spyware-in SpinOk me më shumë shkarkime janë:

• Një redaktues video Noizz me një minimum prej 100 milion instalime.
• Një aplikacion për transferimin dhe ndarjen e skedarëve, Zapya, me 100 milionë instalime të tjera.
• VFly (redaktori dhe krijuesi i videos), MVBit (krijuesi i statusit të videos MV) dhe Biudo (redaktori dhe krijuesi i videos) secila me një minimum prej 50 milionë instalimesh.

Duhet të theksohet se Malware SpinOk ishte i pranishëm në disa versione të Zapya, por është hequr me versionin 6.4.1 të aplikacionit.

Prania e këtij moduli trojan brenda këtyre aplikacioneve të përdorura gjerësisht përbën një kërcënim të rëndësishëm për privatësinë dhe sigurinë e përdoruesve. Kërkohet veprim i menjëhershëm për të zbutur rreziqet e mundshme që lidhen me këto aplikacione të komprometuara.

Malware celular SpinOk mbledh një gamë të gjerë të dhënash të ndjeshme nën maskën e funksionaliteteve të dobishme

Moduli SpinOk prezantohet si një mjet tërheqës brenda aplikacioneve, duke u ofruar përdoruesve mini-lojëra, sisteme detyrash dhe joshjen e çmimeve dhe shpërblimeve. Megjithatë, pas aktivizimit, ky Komplet i Zhvillimit të Softuerit Trojan (SDK) krijon një lidhje me një server Command-and-Control (C&C) dhe transmeton një grup të plotë detajesh teknike rreth pajisjes së infektuar. Këto detaje përfshijnë të dhëna sensori nga komponentë si xhiroskopi dhe magnetometri, të cilët mund të përdoren për të identifikuar mjediset e emulatorit dhe për të rregulluar sjelljen e modulit për të shmangur zbulimin nga studiuesit e sigurisë. Për të errësuar më tej aktivitetet e tij gjatë analizës, moduli i Trojanit shpërfill cilësimet e proxy-it të pajisjes, duke i mundësuar asaj të fshehë lidhjet e rrjetit.

Nëpërmjet komunikimit të tij me serverin C&C, moduli merr një listë të URL-ve, të cilat më pas i ngarkon në WebView për të shfaqur banderolat reklamuese. Njëkohësisht, kjo SDK e Trojanit rrit aftësitë e një kodi JavaScript të korruptuar të ekzekutuar brenda këtyre faqeve të ngarkuara të internetit, duke prezantuar një sërë funksionesh në proces. Këto përfshijnë aftësinë për të aksesuar dhe numëruar skedarë në drejtoritë e specifikuara, për të kontrolluar ekzistencën e skedarëve ose drejtorive specifike në pajisje, për të marrë skedarë nga pajisja dhe për të manipuluar përmbajtjen e kujtesës.

Këto aftësi të shtuara u ofrojnë operatorëve të modulit Trojan mjetet për të marrë informacion dhe skedarë konfidencialë nga pajisja e përdoruesit. Për shembull, aplikacionet që përfshijnë SpinOk Trojan mund të përdoren për të manipuluar skedarët e aksesueshëm për ta. Sulmuesit e arrijnë këtë duke futur kodin e nevojshëm në faqet HTML të banderolave të reklamave, duke u mundësuar atyre të nxjerrin të dhëna dhe skedarë të ndjeshëm nga përdoruesit e padashur.