SpinOk Mobile-Malware

Cybersicherheitsforscher haben ein bedrohliches Softwaremodul entdeckt, das auf Android-Geräte mit Spyware-Funktionen abzielt. Dieses Modul wird als SpinOk verfolgt und sammelt sensible Daten zu Dateien, die auf den betroffenen Geräten gespeichert sind, und verfügt über die Fähigkeit, diese Informationen an böswillige Entitäten zu übermitteln. Darüber hinaus können in die Zwischenablage des Geräts kopierte Inhalte ersetzt und hochgeladen und an einen von den Angreifern kontrollierten Remote-Server weitergeleitet werden.

Die SpinOk-Malware wurde als Marketing-Software Development Kit (SDK) getarnt. Daher kann es von Entwicklern in verschiedene Anwendungen und Spiele integriert werden, auch in solche, die im Google Play Store leicht zugänglich sind. Diese Verbreitungsmethode ermöglicht es dem mit Spyware infizierten Modul, möglicherweise eine breite Palette von Android-Software zu infiltrieren, was eine erhebliche Bedrohung für die Privatsphäre und Sicherheit der Benutzer darstellt. Laut Infosec-Experten wurden mit SpinOk infizierte Android-Anwendungen tatsächlich über 421 Millionen Mal heruntergeladen und installiert.

Die SpinOk-Malware wurde in zahlreiche Anwendungen im Google Play Store eingeschleust

Das Trojaner-Modul SpinOk wurde zusammen mit mehreren Variationen davon in zahlreichen Anwendungen identifiziert, die über den Google Play Store vertrieben werden. Während einige dieser Anwendungen immer noch das kompromittierte Software Development Kit (SDK) enthalten, war es bei anderen in bestimmten Versionen vorhanden oder wurde vollständig aus dem Store entfernt. Es wurde jedoch festgestellt, dass diese mobile Malware in insgesamt 101 verschiedenen Anwendungen vorhanden war, die zusammen über 421.000.000 Downloads verzeichneten. Infolgedessen besteht für eine beträchtliche Anzahl von Android-Gerätebesitzern, die sich auf Hunderte Millionen belaufen, das potenzielle Risiko, Opfer von Cyberspionage zu werden.

Zu den Anwendungen, die die SpinOk-Spyware mit den meisten Downloads enthalten, gehören:

• • Ein Videoeditor Noizz mit mindestens 100 Millionen Installationen.

• • Eine Dateiübertragungs- und Freigabeanwendung, Zapya, mit weiteren 100 Millionen Installationen.

• • VFly (Video-Editor und -Ersteller), MVBit (MV-Videostatus-Ersteller) und Biudo (Video-Editor und -Ersteller) mit jeweils mindestens 50 Millionen Installationen.

Es sollte darauf hingewiesen werden, dass die SpinOk-Malware in mehreren Versionen von Zapya vorhanden war, jedoch mit der Version 6.4.1 der Anwendung entfernt wurde.

Das Vorhandensein dieses Trojaner-Moduls in diesen weit verbreiteten Anwendungen stellt eine erhebliche Bedrohung für die Privatsphäre und Sicherheit der Benutzer dar. Es sind sofortige Maßnahmen erforderlich, um die potenziellen Risiken im Zusammenhang mit diesen kompromittierten Anwendungen zu mindern.

Die SpinOk Mobile-Malware sammelt unter dem Deckmantel nützlicher Funktionen eine Vielzahl sensibler Daten

Das SpinOk-Modul präsentiert sich als ansprechendes Tool innerhalb von Anwendungen und bietet Benutzern Minispiele, Aufgabensysteme und den Reiz von Preisen und Belohnungen. Bei der Aktivierung stellt dieses Trojan Software Development Kit (SDK) jedoch eine Verbindung mit einem Command-and-Control (C&C)-Server her und übermittelt einen umfassenden Satz technischer Details über das infizierte Gerät. Zu diesen Details gehören Sensordaten von Komponenten wie dem Gyroskop und dem Magnetometer, die zur Identifizierung von Emulatorumgebungen und zur Anpassung des Modulverhaltens verwendet werden können, um einer Entdeckung durch Sicherheitsforscher zu entgehen. Um seine Aktivitäten während der Analyse noch weiter zu verschleiern, ignoriert das Trojaner-Modul die Proxy-Einstellungen des Geräts und ermöglicht so das Verbergen von Netzwerkverbindungen.

Durch die Kommunikation mit dem C&C-Server erhält das Modul eine Liste von URLs, die es dann in WebView lädt, um Werbebanner anzuzeigen. Gleichzeitig verbessert dieses Trojaner-SDK die Fähigkeiten eines beschädigten JavaScript-Codes, der auf diesen geladenen Webseiten ausgeführt wird, und führt dabei eine Reihe von Funktionalitäten ein. Dazu gehört die Möglichkeit, auf Dateien in bestimmten Verzeichnissen zuzugreifen und diese aufzuzählen, die Existenz bestimmter Dateien oder Verzeichnisse auf dem Gerät zu prüfen, Dateien vom Gerät abzurufen und den Inhalt der Zwischenablage zu bearbeiten.

Diese zusätzlichen Funktionen bieten den Betreibern des Trojaner-Moduls die Möglichkeit, vertrauliche Informationen und Dateien vom Gerät des Benutzers abzurufen. Beispielsweise können Anwendungen, die den SpinOk-Trojaner enthalten, ausgenutzt werden, um die für sie zugänglichen Dateien zu manipulieren. Dies erreichen die Angreifer, indem sie den erforderlichen Code in die HTML-Seiten der Werbebanner einfügen und so sensible Daten und Dateien unwissender Benutzer entwenden.