SpinOk Mobile Malware

Natuklasan ng mga mananaliksik sa cybersecurity ang isang nagbabantang software module na nagta-target sa mga Android device na nilagyan ng mga kakayahan sa spyware. Ang module na ito ay sinusubaybayan bilang SpinOk at nagpapatakbo sa pamamagitan ng pangangalap ng sensitibong data na nauukol sa mga file na nakaimbak sa mga apektadong device at nagtataglay ng kakayahang ipadala ang impormasyong ito sa mga nilalang na may masamang pag-iisip. Bukod pa rito, maaari nitong palitan at i-upload ang mga nilalamang kinopya sa clipboard ng device, na ipapasa ang mga ito sa isang malayuang server na kinokontrol ng mga umaatake.

Ang SpinOk Malware ay itinago bilang isang marketing Software Development Kit (SDK). Dahil dito, maaari itong isama ng mga developer sa iba't ibang mga application at laro, kabilang ang mga madaling ma-access sa Google Play Store. Ang paraan ng pamamahagi na ito ay nagbibigay-daan sa module na nahawaan ng spyware na potensyal na makalusot sa isang malawak na hanay ng Android software, na nagdudulot ng malaking banta sa privacy at seguridad ng user. Sa katunayan, ayon sa mga eksperto sa infosec, ang SpinOk-infected na mga Android application ay na-download at na-install nang higit sa 421 milyong beses.

Ang SpinOk Malware ay Natagpuang Naka-inject sa Maraming Application sa Google Play Store

Ang SpinOk trojan module, kasama ang ilang mga variation nito, ay natukoy sa loob ng maraming application na ipinamahagi sa pamamagitan ng Google Play Store. Bagama't ang ilan sa mga application na ito ay naglalaman pa rin ng nakompromisong Software Development Kit (SDK), ang iba ay mayroon ito sa mga partikular na bersyon o ganap na inalis sa tindahan. Gayunpaman, natuklasan na ang mobile malware na ito ay naroroon sa kabuuang 101 iba't ibang mga application, na sama-samang nakakuha ng mahigit 421,000,000 download. Bilang resulta, ang malaking bilang ng mga may-ari ng Android device, na umaabot sa daan-daang milyon, ay posibleng nasa panganib na mabiktima ng cyber espionage.

Kabilang sa mga application na natagpuang nagdadala ng SpinOk spyware na may pinakamaraming pag-download ay:

• Isang video editor na Noizz na may minimum na 100 milyong pag-install.
• Isang file transfer at share application, Zapya, na may isa pang 100 milyong pag-install.
• VFly (video editor at maker), MVBit (MV video status maker), at Biudo (video editor at maker) bawat isa ay may minimum na 50 milyong pag-install.

Dapat itong ituro na ang SpinOk Malware ay naroroon sa ilang bersyon ng Zapya ngunit naalis na kasama ang 6.4.1 na bersyon ng application.

Ang pagkakaroon ng Trojan module na ito sa loob ng malawakang ginagamit na mga application na ito ay nagdudulot ng malaking banta sa privacy at seguridad ng mga user. Kinakailangan ang agarang pagkilos upang mapagaan ang mga potensyal na panganib na nauugnay sa mga nakompromisong application na ito.

Ang SpinOk Mobile Malware ay nangongolekta ng isang malawak na hanay ng sensitibong data sa ilalim ng pagkukunwari ng mga kapaki-pakinabang na function.

Ang SpinOk module ay nagpapakita ng sarili bilang isang nakakaengganyong tool sa loob ng mga application, na nag-aalok sa mga user ng mini-games, task system, at ang pang-akit ng mga premyo at reward. Gayunpaman, sa pag-activate, ang Trojan Software Development Kit (SDK) na ito ay nagtatatag ng koneksyon sa isang Command-and-Control (C&C) server at nagpapadala ng komprehensibong hanay ng mga teknikal na detalye tungkol sa nahawaang device. Kasama sa mga detalyeng ito ang data ng sensor mula sa mga bahagi tulad ng gyroscope at magnetometer, na maaaring magamit upang matukoy ang mga kapaligiran ng emulator at isaayos ang gawi ng module upang maiwasan ang pagtuklas ng mga mananaliksik ng seguridad. Upang higit pang i-obfuscate ang mga aktibidad nito sa panahon ng pagsusuri, binabalewala ng module ng Trojan ang mga setting ng proxy ng device, na nagbibigay-daan dito upang itago ang mga koneksyon sa network.

Sa pamamagitan ng pakikipag-ugnayan nito sa server ng C&C, nakatatanggap ang module ng isang listahan ng mga URL, na pagkatapos ay nilo-load nito sa WebView upang magpakita ng mga banner ng advertising. Sabay-sabay, pinapahusay ng Trojan SDK na ito ang mga kakayahan ng isang sirang JavaScript code na naisakatuparan sa loob ng mga na-load na Web page na ito, na nagpapakilala ng hanay ng mga functionality sa proseso. Kabilang dito ang kakayahang mag-access at magbilang ng mga file sa mga tinukoy na direktoryo, suriin kung may mga partikular na file o direktoryo sa device, kunin ang mga file mula sa device, at manipulahin ang mga nilalaman ng clipboard.

Ang mga karagdagang kakayahan na ito ay nagbibigay sa mga operator ng Trojan module ng paraan upang makakuha ng kumpidensyal na impormasyon at mga file mula sa device ng user. Halimbawa, ang mga application na nagsasama ng SpinOk Trojan ay maaaring gamitin upang manipulahin ang mga file na naa-access sa kanila. Nagagawa ito ng mga umaatake sa pamamagitan ng paglalagay ng kinakailangang code sa mga HTML na pahina ng mga banner ng advertisement, na nagbibigay-daan sa kanila na kumuha ng sensitibong data at mga file mula sa hindi sinasadyang mga user.