Android-приложения с модула SpinOk, притежаващ шпионски функции, са инсталирани над 421 000 000 пъти
Беше открит софтуерен модул за операционната система Android, който има функционалности за шпиониране. Той събира информация за файлове, съхранени на устройствата, може да ги трансферира към нападатели, а също и да заменя и качва наличието на клипборда на далечен сървър. Този модул се популяризира във тип на маркетингов SDK и се вгражда от разработчиците в разнообразни Android игри и приложения, в това число и тези, налични в Гугъл Play. Според класификацията на Dr.Web, той е получил наименованието Android.Spy.SpinOk.
Модулът SpinOk е предопределен да задържа потребителите в приложенията посредством мини-игри, система от задания, както и хипотетични тегления на награди. При инициализацията, този троянски SDK се свързва с C&C сървъра, изпращайки поръчка до него с доста механически данни за инфектираното устройство. Сред тях са данни от датчици като жироскоп, магнитометър и други, които могат да се употребяват в среда за емулация и поправяне на работата на злонамереното приложение, с цел да се избегне откриването на неговата интензивност от откривателите. Със същата цел се пренебрегват и настройките на прокси устройствата, което разрешава скриването на мрежовите връзки по време на разбора. В отговор, модулът получава от ръководещия сървър лист с връзки, които зарежда в WebView за проявление на рекламни банери.
Пример за проявление на реклами от Android.Spy.SpinOk:
В същото време, троянският SDK уголемява опциите на JavaScript кода, който се извършва при изтеглените рекламни уеб-страници. Той прибавя доста функционалности към подобен код, в това число:
приемане на лист с файлове в посочени директории; проверка за съществуването на даден файл или папка на устройството; получаване на файл от устройството; получаване и смяна на наличието на клипборда.Това разрешава на тези, които ръководят сходен троянски модул, да получат поверителна информация и файлове от устройството на потребителя. Например, файлове, налични от приложение с вграден Android.Spy.SpinOk. За да създадат това, нападателите ще би трябвало да прибавят съответния код към HTML-страницата на рекламния банер.
Специалистите на Doctor Web откриха този троянски модул и няколко негови модификации в редица приложения, популяризирани посредством каталога на Гугъл Play. Някои от тях към момента съдържат злонамерения SDK, при други той е към този момент махнат единствено в избрани версии или напълно. Вирус анализаторите го откриха в 101 стратегии, които бяха изтеглени общо минимум 421 290 300 пъти. По този метод стотици милиони притежатели на Android-устройства са изложени на риск да станат жертви на кибершпионаж. Компанията “Доктор Уеб “ е уведомила Гугъл за откритата опасност.
По-долу са имената на 10-те най-популярни приложения, в които е открит троянецът SDK Android.Spy.SpinOk:
Noizz: видеоредактор на музика (поне 100 000 000 инсталации), Zapya – Предаване и продан на файлове (поне 100 000 000 инсталации; троянският модул участва от версия 6.3.3 до версия 6.4 и не участва в настоящата версия 6.4.1), VFly: видео-редактор и видео-креатор (поне 50 000 000 инсталации), MVBit – MV video status maker (поне 50 000 000 инсталации), Biugo: вълшебен видео-редактор (поне 50 000 000 инсталации), Crazy Drop (поне 10 000 000 инсталации), Cashzine – Earn money reward (поне 10 000 000 инсталирания), Fizzo Novel – Reading Offline (поне 10 000 000 инсталирания), CashEM: Get Rewards (поне 5 000 000 инсталирания), Tick:watch to earn (поне 5 000 000 инсталирания).
