SpinOk 移动恶意软件

网络安全研究人员发现了一个针对具有间谍软件功能的 Android 设备的威胁软件模块。该模块被跟踪为 SpinOk，通过收集与存储在受影响设备上的文件相关的敏感数据进行操作，并具有将此信息传输给心怀恶意的实体的能力。此外，它可以替换和上传复制到设备剪贴板的内容，将它们转发到攻击者控制的远程服务器。

SpinOk 恶意软件伪装成营销软件开发工具包 (SDK)。因此，它可以被开发人员整合到各种应用程序和游戏中，包括那些可以在 Google Play 商店中轻松访问的应用程序和游戏。这种分发方法允许受间谍软件感染的模块潜在地渗透到广泛的 Android 软件中，对用户隐私和安全构成重大威胁。事实上，根据信息安全专家的说法，受 SpinOk 感染的 Android 应用程序的下载和安装次数已超过 4.21 亿次。

发现 SpinOk 恶意软件被注入到 Google Play 商店的众多应用程序中

SpinOk 木马模块及其多个变体已在通过 Google Play 商店分发的众多应用程序中被发现。虽然其中一些应用程序仍包含受感染的软件开发工具包 (SDK)，但其他应用程序已以特定版本存在或已从商店中完全删除。然而，已发现此移动恶意软件已存在于总共 101 个不同的应用程序中，这些应用程序的总下载量已超过 421,000,000 次。因此，相当数量的 Android 设备拥有者（数亿）有可能成为网络间谍活动的受害者。

被发现携带 SpinOk 间谍软件且下载次数最多的应用程序包括：

• 一个至少有 1 亿次安装的视频编辑器 Noizz。
• 文件传输和共享应用程序 Zapya，安装量达 1 亿次。
• VFly（视频编辑器和制作器）、MVBit（MV 视频状态制作器）和 Biudo（视频编辑器和制作器）各有至少 5000 万次安装。

应该指出的是，SpinOk 恶意软件存在于快牙的多个版本中，但已随应用程序的 6.4.1 版本一起被删除。

这些广泛使用的应用程序中存在此木马模块，对用户的隐私和安全构成重大威胁。需要立即采取行动来减轻与这些受损应用程序相关的潜在风险。

SpinOk 移动恶意软件以实用功能为幌子收集范围广泛的敏感数据

SpinOk 模块将自己呈现为应用程序中的一个引人入胜的工具，为用户提供迷你游戏、任务系统以及奖品和奖励的诱惑。但是，在激活后，此木马软件开发工具包 (SDK) 会与命令和控制 (C&C) 服务器建立连接，并传输有关受感染设备的一整套技术细节。这些详细信息包括来自陀螺仪和磁力计等组件的传感器数据，可用于识别仿真器环境并调整模块的行为以逃避安全研究人员的检测。为了在分析过程中进一步混淆其活动，特洛伊木马模块忽略了设备代理设置，使其能够隐藏网络连接。

通过与 C&C 服务器的通信，该模块接收到一个 URL 列表，然后将其加载到 WebView 中以显示广告横幅。同时，这个特洛伊木马 SDK 增强了在这些加载的网页中执行的损坏的 JavaScript 代码的功能，在此过程中引入了一系列功能。其中包括访问和枚举指定目录中的文件、检查设备上是否存在特定文件或目录、从设备中检索文件以及操作剪贴板内容的能力。

这些新增功能为特洛伊木马模块的操作员提供了从用户设备获取机密信息和文件的方法。例如，可以利用包含 SpinOk 特洛伊木马的应用程序来操纵它们可以访问的文件。攻击者通过在广告横幅的 HTML 页面中插入必要的代码来实现这一点，使他们能够从不知情的用户那里提取敏感数据和文件。