SpinOk มัลแวร์มือถือ

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบโมดูลซอฟต์แวร์คุกคามที่กำหนดเป้าหมายไปยังอุปกรณ์ Android ที่ติดตั้งสปายแวร์ โมดูลนี้ถูกติดตามในฐานะ SpinOk และดำเนินการโดยการรวบรวมข้อมูลที่ละเอียดอ่อนเกี่ยวกับไฟล์ที่จัดเก็บไว้ในอุปกรณ์ที่ได้รับผลกระทบ และมีความสามารถในการส่งข้อมูลนี้ไปยังหน่วยงานที่มีจิตใจชั่วร้าย นอกจากนี้ยังสามารถแทนที่และอัปโหลดเนื้อหาที่คัดลอกไปยังคลิปบอร์ดของอุปกรณ์ แล้วส่งต่อไปยังเซิร์ฟเวอร์ระยะไกลที่ควบคุมโดยผู้โจมตี

มัลแวร์ SpinOk ถูกปลอมแปลงเป็น Software Development Kit (SDK) สำหรับการตลาด ด้วยเหตุนี้ นักพัฒนาซอฟต์แวร์จึงสามารถรวมเข้ากับแอปพลิเคชันและเกมต่างๆ รวมถึงที่เข้าถึงได้ง่ายบน Google Play Store วิธีการแจกจ่ายนี้ช่วยให้โมดูลที่ติดสปายแวร์สามารถแทรกซึมซอฟต์แวร์ Android ที่หลากหลาย ซึ่งเป็นภัยคุกคามที่สำคัญต่อความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ ตามที่ผู้เชี่ยวชาญของ infosec ระบุว่าแอปพลิเคชัน Android ที่ติดไวรัส SpinOk นั้นถูกดาวน์โหลดและติดตั้งมากกว่า 421 ล้านครั้ง

พบมัลแวร์ SpinOk แทรกเข้าไปในแอปพลิเคชันจำนวนมากบน Google Play Store

โมดูลโทรจัน SpinOk พร้อมด้วยรูปแบบต่างๆ ได้รับการระบุในแอปพลิเคชันจำนวนมากที่เผยแพร่ผ่าน Google Play Store แม้ว่าแอปพลิเคชันเหล่านี้บางส่วนยังคงมี Software Development Kit (SDK) ที่ถูกบุกรุก แต่แอปพลิเคชันอื่นๆ ก็มีอยู่ในเวอร์ชันเฉพาะหรือถูกลบออกจากสโตร์ทั้งหมดแล้ว อย่างไรก็ตาม มีการค้นพบว่ามัลแวร์มือถือนี้มีอยู่ในแอปพลิเคชันที่แตกต่างกันทั้งหมด 101 แอปพลิเคชัน ซึ่งมีการดาวน์โหลดรวมกันมากกว่า 421,000,000 ครั้ง ด้วยเหตุนี้ เจ้าของอุปกรณ์ Android จำนวนมากถึงหลายร้อยล้านคนจึงมีความเสี่ยงที่จะตกเป็นเหยื่อของการจารกรรมทางไซเบอร์

ในบรรดาแอปพลิเคชันที่พบว่ามีสปายแวร์ SpinOk ที่มีการดาวน์โหลดมากที่สุดได้แก่:

• โปรแกรมตัดต่อวิดีโอ Noizz ที่มีการติดตั้งขั้นต่ำ 100 ล้านครั้ง
• แอปพลิเคชั่นถ่ายโอนไฟล์และแชร์ Zapya พร้อมการติดตั้งอีก 100 ล้านครั้ง
• VFly (โปรแกรมแก้ไขและจัดทำวิดีโอ), MVBit (เครื่องมือสร้างสถานะวิดีโอ MV) และ Biudo (โปรแกรมแก้ไขและจัดทำวิดีโอ) แต่ละรายการมีการติดตั้งขั้นต่ำ 50 ล้านครั้ง

โปรดทราบว่ามัลแวร์ SpinOk มีอยู่ใน Zapya หลายเวอร์ชัน แต่ถูกลบออกไปพร้อมกับแอปพลิเคชันเวอร์ชัน 6.4.1

การมีอยู่ของโมดูลโทรจันนี้ในแอปพลิเคชันที่ใช้กันอย่างแพร่หลายเหล่านี้เป็นภัยคุกคามที่สำคัญต่อความเป็นส่วนตัวและความปลอดภัยของผู้ใช้ จำเป็นต้องดำเนินการทันทีเพื่อลดความเสี่ยงที่อาจเกิดขึ้นจากแอปพลิเคชันที่ถูกบุกรุกเหล่านี้

มัลแวร์มือถือ SpinOk รวบรวมข้อมูลที่ละเอียดอ่อนหลากหลายประเภทภายใต้หน้ากากของฟังก์ชันที่มีประโยชน์

โมดูล SpinOk นำเสนอตัวเองในฐานะเครื่องมือที่มีส่วนร่วมภายในแอปพลิเคชัน โดยนำเสนอมินิเกม ระบบภารกิจ และสิ่งล่อใจของรางวัลและรางวัลต่างๆ แก่ผู้ใช้ อย่างไรก็ตาม เมื่อเปิดใช้งาน Trojan Software Development Kit (SDK) จะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C&C) และส่งรายละเอียดทางเทคนิคที่ครอบคลุมเกี่ยวกับอุปกรณ์ที่ติดไวรัส รายละเอียดเหล่านี้รวมถึงข้อมูลเซ็นเซอร์จากส่วนประกอบต่างๆ เช่น ไจโรสโคปและแมกนีโตมิเตอร์ ซึ่งสามารถใช้เพื่อระบุสภาพแวดล้อมจำลองและปรับพฤติกรรมของโมดูลเพื่อหลีกเลี่ยงการตรวจจับโดยนักวิจัยด้านความปลอดภัย เพื่อทำให้กิจกรรมของมันสับสนมากขึ้นในระหว่างการวิเคราะห์ โมดูลโทรจันจะไม่สนใจการตั้งค่าพร็อกซีของอุปกรณ์ ทำให้สามารถปกปิดการเชื่อมต่อเครือข่ายได้

ผ่านการสื่อสารกับเซิร์ฟเวอร์ C&C โมดูลจะได้รับรายการ URL ซึ่งจะโหลดใน WebView เพื่อแสดงป้ายโฆษณา พร้อมกันนี้ Trojan SDK จะเพิ่มขีดความสามารถของโค้ด JavaScript ที่เสียหายที่ดำเนินการภายในเว็บเพจที่โหลดเหล่านี้ โดยแนะนำฟังก์ชันต่างๆ ในกระบวนการนี้ ซึ่งรวมถึงความสามารถในการเข้าถึงและระบุไฟล์ในไดเร็กทอรีที่ระบุ ตรวจสอบการมีอยู่ของไฟล์หรือไดเร็กทอรีเฉพาะบนอุปกรณ์ ดึงไฟล์จากอุปกรณ์ และจัดการเนื้อหาของคลิปบอร์ด

ความสามารถที่เพิ่มเข้ามาเหล่านี้ช่วยให้ผู้ปฏิบัติงานของโมดูลโทรจันได้รับข้อมูลและไฟล์ที่เป็นความลับจากอุปกรณ์ของผู้ใช้ ตัวอย่างเช่น แอปพลิเคชันที่รวมโทรจัน SpinOk สามารถใช้ประโยชน์จากการจัดการไฟล์ที่เข้าถึงได้ ผู้โจมตีทำได้โดยการแทรกโค้ดที่จำเป็นลงในหน้า HTML ของแบนเนอร์โฆษณา ทำให้สามารถดึงข้อมูลและไฟล์ที่ละเอียดอ่อนจากผู้ใช้ที่ไม่ได้ตั้งใจ