Android alkalmazások, melyeket kémprogrammal 421 milliószor telepítettek a Google Playből

Az antivírus cég szerint a SpinkOk látszólag törvényes viselkedést mutat, mini játékokat használ, amelyek "napi jutalmakhoz" vezetnek, hogy felkeltsék a felhasználók érdeklődését. "A felszínen a SpinOk modul úgy van kialakítva, hogy fenntartsa a felhasználók érdeklődését az alkalmazások iránt mini játékok, feladatok rendszere, valamint állítólagos nyeremények és jutalmak segítségével," magyarázza a Doctor Web jelentése.

A háttérben azonban a trójai SDK ellenőrzi az Android eszköz szenzoradatait (giroszkóp, mágneses érzékelő), hogy megerősítse, hogy nem fut „homokozott környezetben" (=egy biztonsági technika, ami korlátozza egy alkalmazás hozzáférését a rendszer erőforrásaihoz. Ha a szövegben szereplő kártékony szoftver észleli, hogy ilyen környezetben fut, akkor megpróbálja megkerülni ezeket a korlátozásokat, hogy elkerülje a detektálást), amit gyakran használnak a kutatók a potenciálisan káros Android alkalmazások elemzésekor.

Az alkalmazás ezután kapcsolódik egy távoli szerverhez, hogy letöltsön egy URL-listát, amit a várt mini játékok megjelenítésére használnak. Míg a mini játékokat a felhasználóknak a várt módon jelenítik meg, a Dr. Web szerint a háttérben az SDK képes további káros funkciókra is, beleértve a könyvtárakban található fájlok listázását, különleges fájlok keresését, fájlok feltöltését az eszközről, vagy a vágólap tartalmának másolását és cseréjét.

A fájl exfiltrációs funkcionalitás különösen aggasztó, mivel kiexponálhatja a privát képeket, videókat és dokumentumokat.

Ezenkívül a vágólap módosítási funkció kódja lehetővé teszi az SDK operátorainak, hogy ellophassák a fiókjelszavakat és hitelkártya adatokat, vagy eltereljék a kriptovaluta fizetéseket saját kriptovaluta pénztárcacímükre.

A Dr. Web állítása szerint ezt az SDK-t 101 alkalmazásban találták meg, amelyeket összesen 421,290,300 alkalommal töltöttek le a Google Playből, a legtöbbet letöltött alkalmazások a következők:

• Noizz: videószerkesztő zenével (100,000,000 letöltés)
• Zapya: fájlátvitel, megosztás (100,000,000 letöltés; a Dr. Web szerint a trójai modul a 6.3.3-as verziótól a 6.4-es verzióig volt jelen, és már nincs jelen a jelenlegi 6.4.1-es verzióban)
• VFly: videószerkesztő&videó készítő (50,000,000 letöltés)
• MVBit: MV videószerkesztő (50,000,000 letöltés)
• Biugo: videó készítő & videószerkesztő (50,000,000 letöltés)
• Crazy Drop: (10,000,000 letöltés)
• Cashzine: pénzt lehet keresni az alkalmazással (10,000,000 letöltés)
• Fizzo Novel: offline olvasás (10,000,000 letöltés)
• CashEM: (5,000,000 letöltés)
• Tick: pénzt lehet keresni az alkalmazással (5,000,000 letöltés)

A fenti alkalmazások közül csak egy maradt a Google Playen, ami arra utal, hogy a Google jelentéseket kapott a káros SDK-ról, és eltávolította az érintett alkalmazásokat, amíg a fejlesztők nem nyújtottak be egy tiszta verziót. A jelentések szerint az SDK-t használó alkalmazások teljes listáját megtalálhatja a Dr. Web oldalán.

Nem világos, hogy a trójai alkalmazások kiadóit megtévesztette-e az SDK disztribútora, vagy tudatosan belefoglalták a kódjukba, de ezek a fertőzések általában egy harmadik féltől származó ellátási lánc támadás eredményeképpen keletkeznek.

Ha Ön az itt felsorolt alkalmazások valamelyikét használja, frissítenie kell a legújabb verzióra, amely a Google Playen keresztül érhető el, és amelynek tisztának kell lennie.

Ha az alkalmazás nem érhető el az Android hivatalos alkalmazásboltjában, azt ajánlott azonnal eltávolítani és a készüléket egy mobil antivírus eszközzel átvizsgálni, hogy biztosan eltávolítsák a kémprogram maradványait.

A BleepingComputer megkereste a Google-t, hogy nyilatkozatot adjon erről a hatalmas fertőzési bázisról, de a kiadás idején nem volt rendelkezésre álló megjegyzés.

Forrás:

www.bleepingcomputer.com