Ένα νέο Android malware – SpinOk – που διανέμεται ως advertisement SDK έχει ανακαλυφθεί σε πολλές εφαρμογές- πολλές από αυτές είχαν προηγουμένως εισαχθεί στο Google Play και είχαν ληφθεί συνολικά πάνω από 400 εκατομμύρια φορές.
Οι ερευνητές ασφαλείας στο Dr. Web ανακάλυψαν τη μονάδα spyware και την παρακολούθησαν ως «SpinOk», προειδοποιώντας ότι μπορεί να κλέψει προσωπικά δεδομένα που είναι αποθηκευμένα στις συσκευές των χρηστών και να τα στείλει σε έναν απομακρυσμένο διακομιστή.
Η εταιρεία Dr. Web λέει ότι το SpinkOk επιδεικνύει μια φαινομενικά νόμιμη συμπεριφορά, χρησιμοποιώντας minigames που οδηγούν σε “καθημερινές ανταμοιβές” για να προκαλέσει το ενδιαφέρον των χρηστών.
Στο παρασκήνιο, ωστόσο, το trojan SDK ελέγχει τα δεδομένα αισθητήρα της συσκευής Android για να επιβεβαιώσει ότι δεν εκτελείται σε περιβάλλον sandbox, που χρησιμοποιείται συνήθως από ερευνητές όταν αναλύουν δυνητικά κακόβουλες εφαρμογές Android.
Στη συνέχεια, η εφαρμογή συνδέεται με έναν απομακρυσμένο διακομιστή για λήψη μιας λίστας διευθύνσεων URL που έχουν ανοίξει και χρησιμοποιούνται για την εμφάνιση των αναμενόμενων minigames.
Ενώ τα minigames εμφανίζονται στους χρήστες των εφαρμογών όπως αναμένεται, η Dr. Web λέει ότι στο παρασκήνιο, το SDK είναι ικανό για πρόσθετες κακόβουλες λειτουργίες, όπως η καταχώριση αρχείων σε καταλόγους, η αναζήτηση συγκεκριμένων αρχείων, η αποστολή αρχείων από τη συσκευή ή η αντιγραφή και αντικατάσταση των περιεχομένων του προχείρου.
Η λειτουργία εξαγωγής αρχείων είναι ιδιαίτερα ανησυχητική καθώς θα μπορούσε να εκθέσει ιδιωτικές εικόνες, βίντεο και έγγραφα.
Επιπλέον, ο κώδικας για την τροποποίηση της λειτουργικότητας του πρόχειρου επιτρέπει στους χειριστές του SDK να κλέβουν κωδικούς πρόσβασης λογαριασμών και δεδομένα πιστωτικών καρτών ή να κάνουν hijack πληρωμές σε κρυπτονομίσματα στις δικές τους διευθύνσεις crypto wallet.
Η Dr. Web ισχυρίζεται ότι αυτό το SDK βρέθηκε σε 101 εφαρμογές που λήφθηκαν συνολικά 421.290.300 φορές από το Google Play, με τις περισσότερες λήψεις να αναφέρονται παρακάτω:
- Noizz (100,000,000 downloads)
- Zapya (100,000,000 downloads)
- VFly (50,000,000 downloads)
- MVBit (50,000,000 downloads)
- Biugo (50,000,000 downloads)
- Crazy Drop (10,000,000 downloads)
- Cashzine (10,000,000 downloads)
- Fizzo Novel (10,000,000 downloads)
- CashEM: Get Rewards (5,000,000 downloads)
- Tick: watch to earn (5,000,000 downloads)
Όλες εκτός από μία από τις παραπάνω εφαρμογές έχουν αφαιρεθεί από το Google Play, υποδεικνύοντας ότι η Google έλαβε αναφορές σχετικά με το κακόβουλο SDK και αφαίρεσε τις εφαρμογές έως ότου οι προγραμματιστές υποβάλουν μια καθαρή έκδοση.
Μια πλήρης λίστα με τις εφαρμογές που φέρεται να χρησιμοποιούν το SDK μπορείτε να βρείτε στον ιστότοπο της Dr. Web.
Δεν είναι σαφές εάν οι εκδότες των trojanized εφαρμογών εξαπατήθηκαν από τον διανομέα του SDK ή το συμπεριέλαβαν εν γνώσει τους στον κώδικά τους, αλλά αυτές οι μολύνσεις συνήθως προκύπτουν από επίθεση στην αλυσίδα εφοδιασμού από τρίτο μέρος.
Εάν χρησιμοποιείτε οποιαδήποτε από τις εφαρμογές που αναφέρονται παραπάνω, θα πρέπει να ενημερώσετε στην πιο πρόσφατη έκδοση που είναι διαθέσιμη μέσω του Google Play, η οποία θα πρέπει να είναι καθαρή.
Εάν η εφαρμογή δεν είναι διαθέσιμη στο επίσημο κατάστημα εφαρμογών του Android, συνιστάται να τις απεγκαταστήσετε αμέσως και να σαρώσετε τη συσκευή σας με ένα εργαλείο προστασίας από ιούς για κινητά για να διασφαλίσετε ότι τυχόν υπολείμματα λογισμικού κατασκοπείας θα αφαιρεθούν.
Πηγή πληροφοριών: bleepingcomputer.com
