Το κακόβουλο λογισμικό SpinOk βρέθηκε σε μια νέα παρτίδα εφαρμογών Android στο Google Play, οι οποίες σύμφωνα με πληροφορίες έχουν εγκατασταθεί επιπλέον 30 εκατομμύρια φορές.
Το εύρημα προέρχεται από την ομάδα ασφαλείας του CloudSEK, η οποία αναφέρει ότι βρέθηκε ένα σύνολο 193 εφαρμογών που έφεραν το κακόβουλο SDK, 43 από τις οποίες ήταν ενεργές στο Google Play τη στιγμή της ανακάλυψής τους την περασμένη εβδομάδα.
SpinOk στο Google Play
Το SpinOk ανακαλύφθηκε για πρώτη φορά από τον Dr. Web στα τέλη του περασμένου μήνα σε ένα σύνολο εκατοντάδων εφαρμογών που είχαν ληφθεί συνολικά πάνω από 421 εκατομμύρια φορές.
Όπως εξήγησε η εταιρεία ασφάλειας κινητής τηλεφωνίας στην έκθεσή της, το SpinOk διανεμήθηκε μέσω μιας επίθεσης στην αλυσίδα εφοδιασμού SDK που μόλυνε πολλές εφαρμογές και, κατ' επέκταση, παραβίασε πολλούς χρήστες Android.
Επιφανειακά, το SDK εξυπηρετούσε μίνι παιχνίδια με καθημερινές ανταμοιβές που χρησιμοποιούνται νόμιμα από προγραμματιστές για να κεντρίσουν το ενδιαφέρον των χρηστών τους. Ωστόσο, στο παρασκήνιο, ο trojan θα μπορούσε να χρησιμοποιηθεί για την κλοπή αρχείων και την αντικατάσταση περιεχομένων του προχείρου.
Το CloudSEK χρησιμοποίησε τα IoC που παρέχονται στην αναφορά του Dr. Web για να αποκαλύψει περισσότερες μολύνσεις από το SpinOk, επεκτείνοντας τη λίστα των κακών εφαρμογών σε 193 αφού ανακάλυψε επιπλέον 92 εφαρμογές. Περίπου τα μισά από αυτά ήταν διαθέσιμα στο Google Play.
Το πιο ληφθέν από τη νέα παρτίδα ήταν το HexaPop Link 2248, το οποίο είχε 5 εκατομμύρια εγκαταστάσεις. Ωστόσο, στο παρασκήνιο, ο trojan χρησιμοποιείται για την κλοπή αρχείων και την αντικατάσταση περιεχομένων του προχείρου.
Άλλες δημοφιλείς εφαρμογές που χρησιμοποιούν το SpinOk SDK και οι οποίες παραμένουν διαθέσιμες για λήψη μέσω του Google Play είναι:
- Macaron Match (XM Studio) – 1 εκατομμύριο λήψεις
- Macaron Boom (XM Studio) – 1 εκατομμύριο λήψεις
- Jelly Connect (Bling Game) – 1 εκατομμύριο λήψεις
- Tiler Master (Τεχνολογία Zhinuo) – 1 εκατομμύριο λήψεις
- Crazy Magic Ball (XM Studio) – 1 εκατομμύριο λήψεις
- Happy 2048 (Τεχνολογία Zhinuo) – 1 εκατομμύριο λήψεις
- Mega Win Slots (Jia22) – 500.000 λήψεις
Το CloudSEK αναφέρει ότι ο αριθμός των συλλογικών λήψεων για τις πρόσθετες εφαρμογές που χρησιμοποιούνται στο SpinOK ξεπερνά τα 30.000.000.
Θα πρέπει να σημειωθεί ότι οι προγραμματιστές αυτών των εφαρμογών πιθανότατα χρησιμοποίησαν το κακόβουλο SDK νομίζοντας ότι ήταν μια βιβλιοθήκη διαφημίσεων, χωρίς να γνωρίζουν ότι περιλάμβανε κακόβουλη λειτουργία.
Ο πλήρης κατάλογος των μολυσμένων εφαρμογών βρίσκεται στην ενότητα του παραρτήματος του Η αναφορά του CloudSEK.
Αυτό αποτελεί απόδειξη της πολυπλοκότητας της πλήρους χαρτογράφησης επιθέσεων εφοδιαστικής αλυσίδας σε μεγάλες πλατφόρμες διανομής λογισμικού, όπως το Google Play store, όπου ο εντοπισμός κάθε έργου που μπορεί να χρησιμοποιεί μια συγκεκριμένη ενότητα είναι πρόκληση και οδηγεί σε σοβαρές καθυστερήσεις στη διαδικασία αποκατάστασης κινδύνου.
Το CloudSEK ενημέρωσε την Google για τις νέες κακόβουλες εφαρμογές που ανακάλυψε την Παρασκευή, 2 Ιουνίου 2023, και η BleepingComputer επικοινώνησε σχετικά με την ομάδα Android.
Η Google δεν έχει απαντήσει ακόμη και πολλές από τις εφαρμογές που αναφέρονται στην αναφορά του CloudSEK εξακολουθούν να είναι διαθέσιμες στο Google Play τη στιγμή της σύνταξης.
