MKD-CIRT National Centre for Computer Incident Response
Нов Android малвер дистрибуиран како SDK реклама е откриен во повеќе апликации, многумина претходно на Google Play и збирно преземени над 400 милиони пати.
Безбедносните истражувачи од Dr. Web го открија spyware модулот и го следеа како „SpinOk“, предупредувајќи дека може да украде приватни податоци складирани на уредите на корисниците и да ги испрати на оддалечен сервер.
Антивирусната компанија изјави дека SpinkOk демонстрира навидум легитимно однесување, користејќи мини игри кои водат до „дневни награди“ за да предизвика интерес кај корисниците.
„Од површината, SpinOk модулот е дизајниран да го одржува интересот на корисниците за апликациите со помош на мини игри, систем на задачи и наводни награди и цртежи на награди“, стои во извештајот на Doctor Web.
Во позадина, сепак, SDK тројанецот ги проверува податоците од сензорот на Android (жироскоп, магнетометар) за да потврди дека не работи во sandbox околина, што најчесто се користи од страна на истражувачите кога анализираат потенцијално Android малициозни апликации.
Апликацијата потоа се поврзува со оддалечен сервер за да преземе список со отворени URL-адреси што се користат за прикажување на очекуваните мини игри.
Додека мини-игрите се прикажуваат на корисниците на апликациите како што се очекуваше, d-r Web изјави дека во позадина, SDK е способен за дополнителна малициозна функционалност, вклучувајќи наведување датотеки во директориуми, пребарување на одредени датотеки, поставување датотеки од уредот или копирање и замена на содржината на таблата со исечоци.
Функционалноста за ексфилтрација на датотеки е особено загрижувачка бидејќи може да изложи приватни слики, видеа и документи.
Дополнително, кодот за функционалност за модификација на таблата со исечоци им овозможува на SDK креаторите да украдат лозинки за сметки и податоци за кредитни картички или да крадат плаќања со криптовалути на нивните сопствени адреси на крипто-паричник.
D-r Web тврди дека оваа SDK бил пронајден во 101 апликација кои биле преземени вкупно 421.290.300 пати од Google Play, а најсимнуваните се наведени подолу:
Noizz: видео едитор со музика (100.000.000 преземања)
Zapya – пренос на датотеки, споделување (100.000.000 преземања; Dr. Web изјави дека тројанскиот модул бил присутен во верзијата 6.3.3 до верзијата 6.4 и повеќе не е присутен во тековната верзија 6.4.1)
VFly: уредувач на видео и креатор на видео (50.000.000 преземања)
MVBit – креатор на MV видео статус (50.000.000 преземања)
Biugo – креатор на видео и уредувач на видеа (50.000.000 преземања)
Crazy Drop (10.000.000 преземања)
Cashzine – награда за заработување пари (10.000.000 преземања)
Роман Fizzo – читање офлајн (10.000.000 преземања)
CashEM: добивање награди (5.000.000 преземања)
Tick: гледајте за да заработите (5.000.000 преземања)
Сите, освен една од горенаведените апликации се отстранети од Google Play, што покажува дека Google добивал извештаи за малициозниот SDK и ги отстранил навредливите апликации додека програмерите не поднесат чиста верзија.
Комплетна листа на апликации за кои наводно се користи SDK може да се најде на страницата на D-r Web.
Не е јасно дали издавачите на тројанизираните апликации биле измамени од дистрибутерот на SDK или свесно го вклучиле во нивниот код, но овие инфекции најчесто произлегуваат од supply-chain напад од трета страна.
Ако користите некоја од апликациите наведени погоре, треба да ја ажурирате најновата верзија достапна преку Google Play, која треба да биде чиста.
Ако апликацијата не е достапна во Android официјалната продавница за апликации, се препорачува веднаш да ја деинсталирате и да го скенирате уредот со мобилна антивирусна алатка за да се осигурате дека ќе се отстранат сите spyware остатоци.
BleepingComputer се обрати до Google за изјава за оваа огромна база на инфекции, но коментарот не беше достапен до времето на објавување.
Извор: BleepingComputer