Android trojanac sa preko 421.000.000 instalacija

AUTOR ·

Sigurnosni istraživači su otkrili novi Android trojanac i prate ga pod nazivom SpinOk. Trojanac se distribuira kao reklamni Software Development Kit (SDK) u Google Play prodavnici i uticao je na brojne mobilne aplikacije. Kada se sve uzme u obzir, zaražene aplikacije su prikupile preko 421 miliona preuzimanja.

android-hacker

Image by Freepik

SpinOk – Android trojanac

Sigurnosni istraživači kompanije Dr. Web otkrili su špijunski modul i označili ga kao SpinOk, upozoravajući da može da ukrade privatne podatke uskladištene na uređajima korisnika i pošalje ih na udaljeni server. Sigurnosni istraživač kažu da SpinkOk pokazuje naizgled legitimno ponašanje, koristeći mini-igre koje vode do “dnevnih nagrada” kako bi izazvalo interesovanje korisnika.

Mini-games

Mini-games displayed by SDK; Source: Dr.Web

Funkcionisanje

Nakon inicijalizacije, ovaj trojanski SDK se povezuje sa C&C serverom tako što šalje zahtev koji sadrži veliku količinu tehničkih informacija o zaraženom uređaju. Uključeni su podaci sa senzora (kao što su na primjer žiroskop, magnetometra, itd.), koji se mogu koristiti za otkrivanje okruženja emulatora i prilagođavanje radne rutine modula kako bi se izbjeglo da da bude otkriven od strane sigurnosnih istraživača. Iz istih razloga, ignoriše proxy podešavanje na uređaja, što mu omogućava da sakrije mrežne veze tokom analize. Kao odgovor, modul prima listu Internet adresa sa servera, koju zatim otvara u WebView-u da prikaže reklame.

Pored toga, ovaj trojanski SDK proširuje mogućnosti JavaScript kôda koji se izvršava na učitanim Internet stranicama koje sadrže oglase. On dodaje mnoge funkcije takvom kôdu, kao što su:

 

  • preuzimanje liste datoteka u određenim direktorijumima,
  • provjera prisustvo određenih datoteke ili direktorijuma na uređaju,
  • preuzimanje datoteku sa uređaja
  • kopiranje ili zamjena sadržaja iz clipboard-a.

 

Ovo omogućava zlonamjernim napadačima da preko trojanskog modula dobiju povjerljive informacije i datoteke sa uređaja korisnika – prvenstveno datoteke kojima mogu da pristupe aplikacije u kojima je ugrađen SpinOk zlonamjerni modul.

 

Pogođene aplikacije

Sigurnosni istraživači su pronašli ovaj trojanski modul i nekoliko njegovih modifikacija u brojnim aplikacijama koje se preuzimaju preko Google Play prodavnice. Neke od aplikacija još uvijek sadrže zlonamjerni SDK, kod nekih od aplikacija se nalazi samo u određenim verzijama, a kod nekih je potpuno uklonjen. Sigurnosni istraživači su identifikovali ukupno 101 aplikaciju, koje su zajedno skupile 421.290.300 preuzimanja, što znači da su stotine miliona korisnika u opasnosti. Kompanija Google u čijem je vlasništvu Google Play prodavnica je upoznata sa ovim problemom.

Apps affected

Apps affected by the SpinOk; Source: Dr.Web

Ovo je lista 10 najviše preduzimanih aplikacija u kojima se nalazi SpinOk:

 

  1. Noizz: video editor with music (najmanje 100.000.000 preuzimanja),
  2. Zapya – File Transfer, Share (najmanje 100.000.000 preuzimanja; zlonamjerni modul se nalazi u verziji 6.3.3 do verzije 6.4, a ne nalazi se u verziji 6.4.1),
  3. VFly: video editor&video maker (najmanje 50.000.000 preuzimanja),
  4. MVBit – MV video status maker (najmanje 50.000.000 preuzimanja),
  5. Biugo – video maker&video editor (najmanje 50.000.000 preuzimanja),
  6. Crazy Drop (najmanje 10.000.000 preuzimanja),
  7. Cashzine – Earn money reward (najmanje 10.000.000 preuzimanja),
  8. Fizzo Novel – Reading Offline (najmanje 10.000.000 preuzimanja),
  9. CashEM: Get Rewards (najmanje 5.000.000 preuzimanja),
  10. Tick: watch to earn (najmanje 5.000.000 preuzimanja).

 

Potpuna lista aplikacija u kojima se nalazi SpinOk se nalazi ovdje.

 

Zaključak

Trenutno nije poznato da li su izdavači aplikacija u kojima se nalazi ovaj trojanski modul bili prevareni od strane distributera SDK ili su ga svjesno uključili u svoj kôd, ali ove infekcije obično nastaju usljed napada treće strane na lanac snabdijevanja. Korisnici koji koriste neku od aplikacija koje su navedene na listi, trebalo bi da ažuriraju aplikacije na najnoviju verziju dostupnu preko Google Play prodavnice, koje sada trebalo da su sada sigurne.

Ako aplikacija nije dostupna u zvaničnoj Android prodavnici aplikacija, korisnicima se preporučuje  da je odmah obrišu aplikaciju i pokrenu skeniranje uređaja pomoću pouzdanog i provjerenog mobilnog antivirusnog alata kako biste bili sigurni da su svi ostaci špijunskog softvera uklonjeni.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.