Ένα νέο κακόβουλο λογισμικό Android που διανέμεται ως διαφημιστικό SDK έχει ανακαλυφθεί σε πολλές εφαρμογές, πολλές στο παρελθόν στο Google Play και έχουν ληφθεί συνολικά πάνω από 400 εκατομμύρια φορές.
Οι ερευνητές ασφαλείας στο Dr. Web ανακάλυψαν τη μονάδα spyware και την παρακολούθησαν ως «SpinOk», προειδοποιώντας ότι μπορεί να κλέψει προσωπικά δεδομένα που είναι αποθηκευμένα στις συσκευές των χρηστών και να τα στείλει σε έναν απομακρυσμένο διακομιστή.
Η εταιρεία προστασίας από ιούς λέει ότι το SpinkOk επιδεικνύει μια φαινομενικά νόμιμη συμπεριφορά, χρησιμοποιώντας minigames που οδηγούν σε “καθημερινές ανταμοιβές” για να προκαλέσει το ενδιαφέρον των χρηστών.
“Επιφανειακά, η μονάδα SpinOk έχει σχεδιαστεί για να διατηρεί το ενδιαφέρον των χρηστών για εφαρμογές με τη βοήθεια μίνι παιχνιδιών, ενός συστήματος εργασιών και υποτιθέμενων βραβείων και κληρώσεων ανταμοιβών”, εξηγεί. Έκθεση του γιατρού Web.
Στο παρασκήνιο, ωστόσο, το trojan SDK ελέγχει τα δεδομένα αισθητήρα της συσκευής Android (γυροσκόπιο, μαγνητόμετρο) για να επιβεβαιώσει ότι δεν εκτελείται σε περιβάλλον sandbox, που χρησιμοποιείται συνήθως από ερευνητές όταν αναλύουν δυνητικά κακόβουλες εφαρμογές Android.
Στη συνέχεια, η εφαρμογή συνδέεται με έναν απομακρυσμένο διακομιστή για λήψη μιας λίστας διευθύνσεων URL που έχουν ανοίξει και χρησιμοποιούνται για την εμφάνιση των αναμενόμενων minigames.
Πηγή: Dr.Web
Ενώ τα minigames εμφανίζονται στους χρήστες των εφαρμογών όπως αναμένεται, ο Dr. Web λέει ότι στο παρασκήνιο, το SDK είναι ικανό για πρόσθετες κακόβουλες λειτουργίες, όπως η καταχώριση αρχείων σε καταλόγους, η αναζήτηση συγκεκριμένων αρχείων, η αποστολή αρχείων από τη συσκευή ή η αντιγραφή και αντικατάσταση των περιεχομένων του προχείρου.
Η λειτουργία εξαγωγής αρχείων είναι ιδιαίτερα ανησυχητική καθώς θα μπορούσε να εκθέσει ιδιωτικές εικόνες, βίντεο και έγγραφα.
Επιπλέον, ο κωδικός λειτουργίας τροποποίησης του προχείρου επιτρέπει στους χειριστές του SDK να κλέβουν κωδικούς πρόσβασης λογαριασμών και δεδομένα πιστωτικών καρτών ή να κλέβουν πληρωμές σε κρυπτονομίσματα στις δικές τους διευθύνσεις κρυπτογραφικού πορτοφολιού.
Ο Dr. Web ισχυρίζεται ότι αυτό το SDK βρέθηκε σε 101 εφαρμογές που λήφθηκαν συνολικά 421.290.300 φορές από το Google Play, με τις περισσότερες λήψεις να αναφέρονται παρακάτω:
- Noizz: πρόγραμμα επεξεργασίας βίντεο με μουσική (100.000.000 λήψεις)
- Zapya – Μεταφορά αρχείων, Κοινή χρήση (100.000.000 λήψεις. Ο Dr. Web λέει ότι η μονάδα trojan υπήρχε στην έκδοση 6.3.3 έως την έκδοση 6.4 και δεν υπάρχει πλέον στην τρέχουσα έκδοση 6.4.1)
- VFly: πρόγραμμα επεξεργασίας βίντεο και δημιουργία βίντεο (50.000.000 λήψεις)
- MVBit – Δημιουργός κατάστασης βίντεο MV (50.000.000 λήψεις)
- Biugo – Δημιουργός βίντεο και πρόγραμμα επεξεργασίας βίντεο (50.000.000 λήψεις)
- Crazy Drop (10.000.000 λήψεις)
- Cashzine – Κερδίστε χρήματα (10.000.000 λήψεις)
- Fizzo Novel – Ανάγνωση εκτός σύνδεσης (10.000.000 λήψεις)
- CashEM: Λάβετε ανταμοιβές (5.000.000 λήψεις)
- Σημειώστε: παρακολουθήστε για να κερδίσετε (5.000.000 λήψεις)
Όλες εκτός από μία από τις παραπάνω εφαρμογές έχουν αφαιρεθεί από το Google Play, υποδεικνύοντας ότι η Google έλαβε αναφορές σχετικά με το κακόβουλο SDK και αφαίρεσε τις προσβλητικές εφαρμογές έως ότου οι προγραμματιστές υποβάλουν μια καθαρή έκδοση.
Μπορείτε να βρείτε μια πλήρη λίστα με τις εφαρμογές που φέρεται να χρησιμοποιούν το SDK Ιστότοπος του Dr. Web.
Δεν είναι σαφές εάν οι εκδότες των trojanized εφαρμογών εξαπατήθηκαν από τον διανομέα του SDK ή το συμπεριέλαβαν εν γνώσει τους στον κώδικά τους, αλλά αυτές οι μολύνσεις συνήθως προκύπτουν από επίθεση στην αλυσίδα εφοδιασμού από τρίτο μέρος.
Εάν χρησιμοποιείτε οποιαδήποτε από τις εφαρμογές που αναφέρονται παραπάνω, θα πρέπει να ενημερώσετε στην πιο πρόσφατη έκδοση που είναι διαθέσιμη μέσω του Google Play, η οποία θα πρέπει να είναι καθαρή.
Εάν η εφαρμογή δεν είναι διαθέσιμη στο επίσημο κατάστημα εφαρμογών του Android, συνιστάται να τις απεγκαταστήσετε αμέσως και να σαρώσετε τη συσκευή σας με ένα εργαλείο προστασίας από ιούς για κινητά για να διασφαλίσετε ότι τυχόν υπολείμματα λογισμικού κατασκοπείας θα αφαιρεθούν.
Το BleepingComputer έχει επικοινωνήσει με την Google για μια δήλωση σχετικά με αυτήν την τεράστια βάση μόλυνσης, αλλά ένα σχόλιο δεν ήταν διαθέσιμο μέχρι τη στιγμή της δημοσίευσης.
