Зловмисне програмне забезпечення для мобільних пристроїв SpinOk

Дослідники з кібербезпеки виявили загрозливий програмний модуль, націлений на пристрої Android, оснащені можливостями шпигунського ПЗ. Цей модуль відстежується як SpinOk і працює, збираючи конфіденційні дані, що стосуються файлів, що зберігаються на заражених пристроях, і має здатність передавати цю інформацію злим налаштованим організаціям. Крім того, він може замінювати та завантажувати вміст, скопійований у буфер обміну пристрою, пересилаючи його на віддалений сервер, контрольований зловмисниками.

Зловмисне програмне забезпечення SpinOk було замасковано під маркетинговий пакет розробки програмного забезпечення (SDK). Таким чином, розробники можуть включити його в різні програми та ігри, включно з тими, які легко доступні в Google Play Store. Цей метод розповсюдження дозволяє зараженому шпигунським програмним забезпеченням модулю потенційно проникати в широкий спектр програмного забезпечення Android, створюючи значну загрозу конфіденційності та безпеці користувача. Дійсно, за даними експертів Infosec, заражені SpinOk додатки для Android були завантажені та встановлені понад 421 мільйон разів.

Зловмисне програмне забезпечення SpinOk було виявлено впровадженим у численні програми в Google Play Store

Модуль трояна SpinOk разом із кількома його варіаціями було виявлено в численних програмах, що розповсюджуються через Google Play Store. Хоча деякі з цих програм все ще містять скомпрометований пакет розробки програмного забезпечення (SDK), інші мали його в певних версіях або були повністю видалені зі сховища. Однак було виявлено, що це шкідливе програмне забезпечення для мобільних пристроїв було присутнє в 101 різних програмах, які загалом зібрали понад 421 000 000 завантажень. У результаті значна кількість власників пристроїв Android, а це сотні мільйонів, потенційно ризикує стати жертвою кібершпигунства.

Серед програм, які містять шпигунське програмне забезпечення SpinOk з найбільшою кількістю завантажень, є:

• Відеоредактор Noizz з мінімум 100 мільйонами установок.
• Програма для передачі та обміну файлами, Zapya, встановлено ще 100 мільйонів.
• VFly (відеоредактор і розробник), MVBit (відеостатус MV) і Biudo (відеоредактор і розробник), кожен із як мінімум 50 мільйонами встановлень.

Слід зазначити, що зловмисне програмне забезпечення SpinOk було присутнє в кількох версіях Zapya, але було видалено з версією програми 6.4.1.

Присутність цього троянського модуля в цих широко використовуваних програмах становить значну загрозу для конфіденційності та безпеки користувачів. Необхідно вжити негайних заходів, щоб зменшити потенційні ризики, пов’язані з цими скомпрометованими програмами.

Зловмисне програмне забезпечення для мобільних пристроїв SpinOk збирає широкий спектр конфіденційних даних під виглядом корисних функцій

Модуль SpinOk представляє себе як захоплюючий інструмент у додатках, пропонуючи користувачам міні-ігри, системи завдань, а також привабливість призів і нагород. Однак після активації цей пакет розробки троянських програм (SDK) встановлює з’єднання з сервером командування та керування (C&C) і передає повний набір технічних деталей про заражений пристрій. Ці деталі включають дані датчиків із таких компонентів, як гіроскоп і магнітометр, які можна використовувати для визначення середовищ емулятора та налаштування поведінки модуля, щоб уникнути виявлення дослідниками безпеки. Щоб ще більше приховати свою діяльність під час аналізу, троянський модуль ігнорує налаштування проксі-сервера пристрою, дозволяючи йому приховувати мережеві з’єднання.

Через зв’язок із сервером C&C модуль отримує список URL-адрес, який потім завантажує у WebView для відображення рекламних банерів. Одночасно цей троянський SDK розширює можливості пошкодженого коду JavaScript, який виконується на цих завантажених веб-сторінках, запроваджуючи низку функцій у процесі. Вони включають можливість доступу та перерахування файлів у вказаних каталогах, перевірку наявності певних файлів або каталогів на пристрої, отримання файлів із пристрою та керування вмістом буфера обміну.

Ці додаткові можливості надають операторам троянського модуля засоби для отримання конфіденційної інформації та файлів із пристрою користувача. Наприклад, програми, що містять троян SpinOk, можна використовувати для маніпулювання файлами, доступними для них. Зловмисники досягають цього, вставляючи необхідний код у HTML-сторінки рекламних банерів, що дозволяє їм отримувати конфіденційні дані та файли від мимовільних користувачів.