SpinOk 移動惡意軟件

網絡安全研究人員發現了一個針對具有間諜軟件功能的 Android 設備的威脅軟件模塊。該模塊被跟踪為 SpinOk，通過收集與存儲在受影響設備上的文件相關的敏感數據進行操作，並具有將此信息傳輸給心懷惡意的實體的能力。此外，它可以替換和上傳複製到設備剪貼板的內容，將它們轉發到攻擊者控制的遠程服務器。

SpinOk 惡意軟件偽裝成營銷軟件開發工具包 (SDK)。因此，它可以被開發人員整合到各種應用程序和遊戲中，包括那些可以在 Google Play 商店中輕鬆訪問的應用程序和遊戲。這種分發方法允許受間諜軟件感染的模塊潛在地滲透到廣泛的 Android 軟件中，對用戶隱私和安全構成重大威脅。事實上，根據信息安全專家的說法，受 SpinOk 感染的 Android 應用程序的下載和安裝次數已超過 4.21 億次。

發現 SpinOk 惡意軟件被注入到 Google Play 商店的眾多應用程序中

SpinOk 木馬模塊及其多個變體已在通過 Google Play 商店分發的眾多應用程序中被發現。雖然其中一些應用程序仍包含受感染的軟件開發工具包 (SDK)，但其他應用程序已以特定版本存在或已從商店中完全刪除。然而，已發現此移動惡意軟件已存在於總共 101 個不同的應用程序中，這些應用程序的總下載量已超過 421,000,000 次。因此，相當數量的 Android 設備擁有者（數億）有可能成為網絡間諜活動的受害者。

被發現攜帶 SpinOk 間諜軟件且下載次數最多的應用程序包括：

• 一個至少有 1 億次安裝的視頻編輯器 Noizz。
• 文件傳輸和共享應用程序 Zapya，安裝量達 1 億次。
• VFly（視頻編輯器和製作器）、MVBit（MV 視頻狀態製作器）和 Biudo（視頻編輯器和製作器）各有至少 5000 萬次安裝。

應該指出的是，SpinOk 惡意軟件存在於快牙的多個版本中，但已隨應用程序的 6.4.1 版本一起被刪除。

這些廣泛使用的應用程序中存在此木馬模塊，對用戶的隱私和安全構成重大威脅。需要立即採取行動來減輕與這些受損應用程序相關的潛在風險。

SpinOk 移動惡意軟件以實用功能為幌子收集範圍廣泛的敏感數據

SpinOk 模塊將自己呈現為應用程序中的一個引人入勝的工具，為用戶提供迷你游戲、任務系統以及獎品和獎勵的誘惑。但是，在激活後，此木馬軟件開發工具包 (SDK) 會與命令和控制 (C&C) 服務器建立連接，並傳輸有關受感染設備的一整套技術細節。這些詳細信息包括來自陀螺儀和磁力計等組件的傳感器數據，可用於識別仿真器環境並調整模塊的行為以逃避安全研究人員的檢測。為了在分析過程中進一步混淆其活動，特洛伊木馬模塊忽略了設備代理設置，使其能夠隱藏網絡連接。

通過與 C&C 服務器的通信，該模塊接收到一個 URL 列表，然後將其加載到 WebView 中以顯示廣告橫幅。同時，這個特洛伊木馬 SDK 增強了在這些加載的網頁中執行的損壞的 JavaScript 代碼的功能，在此過程中引入了一系列功能。其中包括訪問和枚舉指定目錄中的文件、檢查設備上是否存在特定文件或目錄、從設備中檢索文件以及操作剪貼板內容的能力。

這些新增功能為特洛伊木馬模塊的操作員提供了從用戶設備獲取機密信息和文件的方法。例如，可以利用包含 SpinOk 特洛伊木馬的應用程序來操縱它們可以訪問的文件。攻擊者通過在廣告橫幅的 HTML 頁面中插入必要的代碼來實現這一點，使他們能夠從不知情的用戶那裡提取敏感數據和文件。