SpinOk Mobil Kötü Amaçlı Yazılım

Siber güvenlik araştırmacıları, casus yazılım yetenekleriyle donatılmış Android cihazları hedef alan bir tehdit edici yazılım modülü ortaya çıkardı. Bu modül SpinOk olarak izlenir ve etkilenen cihazlarda depolanan dosyalara ait hassas verileri toplayarak çalışır ve bu bilgileri kötü niyetli varlıklara iletme yeteneğine sahiptir. Ek olarak, cihazın panosuna kopyalanan içerikleri değiştirebilir ve yükleyerek saldırganlar tarafından kontrol edilen uzak bir sunucuya iletebilir.

SpinOk Kötü Amaçlı Yazılımı, bir pazarlama Yazılımı Geliştirme Kiti (SDK) kılığına girmiştir. Bu nedenle, geliştiriciler tarafından, Google Play Store'da kolayca erişilebilenler de dahil olmak üzere çeşitli uygulama ve oyunlara dahil edilebilir. Bu dağıtım yöntemi, casus yazılım bulaşmış modülün potansiyel olarak geniş bir Android yazılımı yelpazesine sızmasına olanak tanıyarak kullanıcı gizliliği ve güvenliği için önemli bir tehdit oluşturur. Gerçekten de, infosec uzmanlarına göre, SpinOk bulaşmış Android uygulamaları 421 milyonun üzerinde indirildi ve kuruldu.

SpinOk Kötü Amaçlı Yazılımının Google Play Store'daki Çok Sayıda Uygulamaya Eklendiği Bulundu

SpinOk truva atı modülü, çeşitli varyasyonlarıyla birlikte, Google Play Store aracılığıyla dağıtılan çok sayıda uygulamada tanımlanmıştır. Bu uygulamalardan bazıları hala güvenliği ihlal edilmiş Yazılım Geliştirme Kitini (SDK) içeriyor olsa da, diğerleri belirli sürümlerde mevcuttu veya mağazadan tamamen kaldırılmıştı. Bununla birlikte, bu mobil kötü amaçlı yazılımın, toplu olarak 421.000.000'den fazla indirme toplayan toplam 101 farklı uygulamada mevcut olduğu keşfedildi. Sonuç olarak, yüz milyonları bulan önemli sayıda Android cihaz sahibi potansiyel olarak siber casusluğun kurbanı olma riskiyle karşı karşıyadır.

En fazla indirme ile SpinOk casus yazılımını taşıdığı tespit edilen uygulamalar arasında şunlar yer almaktadır:

• • En az 100 milyon yüklemeye sahip bir video düzenleyici Noizz.

• • Bir dosya aktarım ve paylaşım uygulaması olan Zapya, 100 milyon kez daha indirildi.

• • Her biri en az 50 milyon kez yüklenmiş VFly (video düzenleyici ve oluşturucu), MVBit (MV video durum oluşturucu) ve Biudo (video düzenleyici ve oluşturucu).

SpinOk Kötü Amaçlı Yazılımının Zapya'nın çeşitli sürümlerinde bulunduğunu ancak uygulamanın 6.4.1 sürümüyle kaldırıldığını belirtmek gerekir.

Yaygın olarak kullanılan bu uygulamalar içerisinde bu Trojan modülünün varlığı, kullanıcıların mahremiyeti ve güvenliği için önemli bir tehdit oluşturmaktadır. Güvenliği ihlal edilmiş bu uygulamalarla ilişkili potansiyel riskleri azaltmak için acil eylem gereklidir.

SpinOk Mobil Kötü Amaçlı Yazılımı, Yararlı İşlevler Kisvesi Altında Çok Çeşitli Hassas Veriler Topluyor

SpinOk modülü, kullanıcılara mini oyunlar, görev sistemleri ve ödüllerin cazibesini sunan, uygulamalar içinde ilgi çekici bir araç olarak kendini gösterir. Ancak, etkinleştirilmesinin ardından bu Truva Atı Yazılım Geliştirme Kiti (SDK), bir Komuta ve Kontrol (C&C) sunucusuyla bağlantı kurar ve virüs bulaşan cihaz hakkında kapsamlı bir dizi teknik ayrıntıyı iletir. Bu ayrıntılar, öykünücü ortamlarını belirlemek ve modülün davranışını güvenlik araştırmacıları tarafından algılanmaktan kaçınmak için ayarlamak için kullanılabilen jiroskop ve manyetometre gibi bileşenlerden gelen sensör verilerini içerir. Trojan modülü, analiz sırasında faaliyetlerini daha fazla gizlemek için, ağ bağlantılarını gizlemesine olanak tanıyarak, cihaz proxy ayarlarını dikkate almaz.

Modül, C&C sunucusuyla olan iletişimi aracılığıyla, reklam afişlerini görüntülemek için WebView'a yüklediği bir URL listesi alır. Eşzamanlı olarak, bu Truva Atı SDK'sı, bu yüklü Web sayfalarında yürütülen bozuk bir JavaScript kodunun yeteneklerini geliştirerek, süreçte bir dizi işlevsellik sunar. Bunlara, belirtilen dizinlerdeki dosyalara erişme ve bunları numaralandırma, aygıtta belirli dosya veya dizinlerin varlığını kontrol etme, aygıttan dosya alma ve pano içeriğini değiştirme yeteneği dahildir.

Bu eklenen yetenekler, Trojan modülünün operatörlerine, kullanıcının cihazından gizli bilgileri ve dosyaları alma olanağı sağlar. Örneğin, SpinOk Trojan'ı içeren uygulamalardan, erişebildikleri dosyaları değiştirmek için yararlanılabilir. Saldırganlar bunu, gerekli kodu reklam afişlerinin HTML sayfalarına ekleyerek, farkında olmayan kullanıcılardan hassas verileri ve dosyaları çıkarmalarını sağlayarak gerçekleştirir.