СпинОк Мобиле Малвер

Истраживачи сајбер безбедности открили су претећи софтверски модул који циља на Андроид уређаје опремљене могућностима шпијунског софтвера. Овај модул се прати као СпинОк и ради тако што прикупља осетљиве податке који се односе на датотеке ускладиштене на погођеним уређајима и поседује могућност да те информације пренесе злонамерним ентитетима. Поред тога, може да замени и отпреми садржај копиран у међуспремник уређаја, прослеђујући га на удаљени сервер који контролишу нападачи.

СпинОк злонамерни софтвер је прерушен у маркетиншки софтверски развојни комплет (СДК). Као такав, програмери га могу уградити у различите апликације и игре, укључујући оне којима је лако приступити у Гоогле Плаи продавници. Овај метод дистрибуције омогућава модулу зараженом шпијунским софтвером да се потенцијално инфилтрира у широк спектар Андроид софтвера, што представља значајну претњу приватности и безбедности корисника. Заиста, према експертима инфосец-а, Андроид апликације заражене СпинОк-ом су преузете и инсталиране преко 421 милион пута.

Злонамерни софтвер СпинОк пронађен је убризган у бројне апликације у Гоогле Плаи продавници

СпинОк тројански модул, заједно са неколико његових варијација, идентификован је у бројним апликацијама које се дистрибуирају преко Гоогле Плаи продавнице. Док неке од ових апликација још увек садрже компромитовани Софтваре Девелопмент Кит (СДК), друге су га имале у одређеним верзијама или су у потпуности уклоњене из продавнице. Међутим, откривено је да је овај мобилни малвер присутан у укупно 101 различитој апликацији, које су заједно прикупиле преко 421.000.000 преузимања. Као резултат тога, значајан број власника Андроид уређаја, који износе стотине милиона, потенцијално је у опасности да постану жртве сајбер шпијунаже.

Међу апликацијама за које је утврђено да носе шпијунски софтвер СпинОк са највише преузимања су:

• • Видео уређивач Ноизз са најмање 100 милиона инсталација.

• • Апликација за пренос и дељење датотека, Запиа, са још 100 милиона инсталација.

• • ВФли (видео уређивач и произвођач), МВБит (произвођач статуса МВ видеа) и Биудо (уређивач и произвођач видео записа) сваки са најмање 50 милиона инсталација.

Треба истаћи да је СпинОк малвер био присутан у неколико верзија Запие, али је уклоњен са 6.4.1 верзијом апликације.

Присуство овог тројанског модула у оквиру ових широко коришћених апликација представља значајну претњу приватности и безбедности корисника. Потребна је хитна акција да би се ублажили потенцијални ризици повезани са овим угроженим апликацијама.

СпинОк Мобиле Малвер прикупља широк спектар осетљивих података под кринком корисних функција

СпинОк модул се представља као занимљив алат унутар апликација, нудећи корисницима мини-игре, системе задатака и привлачност награда и награда. Међутим, након активације, овај тројански пакет за развој софтвера (СДК) успоставља везу са сервером за команду и контролу (Ц&Ц) и преноси свеобухватан скуп техничких детаља о зараженом уређају. Ови детаљи укључују податке сензора из компоненти као што су жироскоп и магнетометар, који се могу користити за идентификацију окружења емулатора и прилагођавање понашања модула како би се избегло откривање од стране истраживача безбедности. Да би додатно замаглио своје активности током анализе, тројански модул занемарује подешавања проксија уређаја, омогућавајући му да сакрије мрежне везе.

Кроз своју комуникацију са Ц&Ц сервером, модул прима листу УРЛ адреса, коју затим учитава у ВебВиев да би приказао рекламне банере. Истовремено, овај тројански СДК побољшава могућности оштећеног ЈаваСцрипт кода који се извршава на овим учитаним веб страницама, уводећи низ функционалности у процес. То укључује могућност приступа и набрајања датотека у одређеним директоријумима, провере постојања одређених датотека или директоријума на уређају, преузимања датотека са уређаја и манипулације садржајем међуспремника.

Ове додатне могућности обезбеђују оператерима тројанског модула средства за преузимање поверљивих информација и датотека са уређаја корисника. На пример, апликације које садрже СпинОк тројанац могу се искористити за манипулисање датотекама које су им доступне. Нападачи то постижу уметањем потребног кода у ХТМЛ странице рекламних банера, омогућавајући им да извуку осетљиве податке и датотеке од несвесних корисника.