Legújabb adatok szerint az Android operációs rendszeren egy új kémprogramot fedeztek fel, amely hirdetési SDK-ként terjed, és több alkalmazásban is megtalálható, melyek előzőleg a Google Play áruházban voltak elérhetőek, és összesen több mint 400 millió alkalommal letöltötték őket.
A Dr. Web biztonsági kutatói észlelték a kémprogramot, amelyet 'SpinOk' néven azonosítottak. Figyelmeztetnek, hogy ez a kártevő képes ellopni a felhasználók eszközein tárolt privát adatokat, majd továbbítani egy távoli szerverre.
Az antivírus vállalat szerint a SpinOk látszólag legális működést mutat, mini játékokat használ, amelyek "napi jutalmakhoz" vezetnek, hogy felkeltsék a felhasználók érdeklődését. A Doctor Web jelentése szerint "a SpinOk modul felhasználói érdeklődés fenntartására van kialakítva az alkalmazások iránt, mini játékok, feladatok rendszerével és állítólagos nyereményekkel és jutalmakkal."
Azonban a háttérben a trójai SDK ellenőrzi az Android eszköz szenzoradatait (giroszkóp, mágneses érzékelő), hogy megbizonyosodjon arról, hogy nem fut homokozott környezetben, amelyet gyakran használnak a kutatók a potenciálisan káros Android alkalmazások elemzéséhez.
Ezt követően az alkalmazás kapcsolódik egy távoli szerverhez, hogy letöltse a mini játékokhoz szükséges URL-listát. Míg a mini játékok a felhasználók által várt módon jelennek meg, a Dr. Web szerint az SDK további káros funkciókat is végrehajthat, beleértve a könyvtárakban található fájlok felsorolását, különleges fájlok keresését, fájlok feltöltését az eszközről, valamint a vágólap tartalmának másolását és cseréjét.
Különösen aggasztó a fájlok kifacsarásának képessége, amely lehetővé teszi a privát képek, videók és dokumentumok kiszivárogtatását.
Ezenkívül a vágólap módosítási funkciója lehetővé teszi az SDK operátorainak, hogy ellopják a fiókjelszavakat és hitelkártya adatokat, vagy átirányítsák a kriptovaluta fizetéseket a saját kriptovaluta pénztárcájukra.
A Dr. Web szerint a kémprogram 101 alkalmazásban található, amelyeket összesen 421,290,300 alkalommal töltöttek le a Google Play áruházból. A legtöbbet letöltött alkalmazások a következők:
- Noizz – videószerkesztő zenével (100,000,000 letöltés)
- Zapya – fájlátvitel, megosztás (100,000,000 letöltés; a Dr. Web szerint a trójai modul jelen volt a 6.3.3-as verziótól a 6.4-es verzióig, de már nincs jelen a jelenlegi 6.4.1-es verzióban)
- VFly – videószerkesztő&videó készítő (50,000,000 letöltés)
- MVBit – MV video állapot készítő (50,000,000 letöltés)
- Biugo – videószerkesztő (50,000,000 letöltés)
- Crazy Drop – (10,000,000 letöltés)
- Cashzine – (10,000,000 letöltés)
- Fizzo Novel – offline olvasás (10,000,000 letöltés)
- CashEM – Online jutalomszerzés (5,000,000 letöltés)
- Tick – nézze meg, hogy pénzt keressen (5,000,000 letöltés)
A fenti alkalmazások közül csak egy maradt fenn a Google Play áruházban, ami azt sugallja, hogy a Google értesítéseket kapott a káros SDK-ról, és eltávolította az érintett alkalmazásokat, amíg a fejlesztők nem nyújtanak be tiszta verziót. A Dr. Web weboldalán megtalálható az összes SDK-t használó alkalmazás teljes listája.
Nem világos, hogy a trójai alkalmazások kiadóit megtévesztette-e az SDK disztribútora, vagy tudatosan belefoglalták a kódjukba, de ezek a fertőzések általában egy harmadik féltől származó ellátási lánc támadás eredményeképpen keletkeznek.
Ha valamelyik felsorolt alkalmazást használja, ajánlott frissíteni a legújabb verzióra, amely elérhető a Google Play áruházból, és amelynek tiszta állapotúnak kell lennie. Ha az alkalmazás nem elérhető az Android hivatalos alkalmazásboltjában, azonnal javasolt eltávolítani és átvizsgálni a készüléket egy mobil antivírus szoftverrel, hogy biztosan eltávolítsák a kémprogram maradványait.
A BleepingComputer megkereste a Google-t, hogy nyilatkozatot tegyen erről a nagy fertőzési bázisról, de a kiadás idején nem állt rendelkezésre nyilvános nyilatkozat.
Forrás: www.on-store.hu
