Cihazlarda tutulan dosyalarla ilgili ayrıntıları toplayabilen ve bunları saldırganlara gönderebilen, casus yazılım özellikli bir Android uygulama modülü.
Ek olarak, pano içerikleri değiştirilebilir ve uzak bir sunucuya yüklenebilir.
“Bu kötü amaçlı SDK, Android cihazlarda depolanan dosyalarla ilgili bilgileri toplar ve bunları saldırganlara aktarabilir; ayrıca pano içeriğini değiştirebilir ve uzak bir sunucuya yükleyebilir, ”diyor Dr. Web.
Dr. Web’in sınıflandırmasına göre bu modül Android olarak bilinir.[.]Casus[.]SpinOk, bir pazarlama SDK’sı olarak sunulur.
Geliştiriciler, bunu çeşitli Google Play uyumlu uygulamalara ve oyunlara dahil edebilir.
SpinOk modülü, mini oyunlar, bir etkinlik sistemi ve sözde ödüller ve ödüllendirme sistemleri aracılığıyla kullanıcıların uygulamalarla ilgilenmesini sağlıyor gibi görünüyor.
Trojan SDK’nın Yetenekleri
- belirtilen dizinlerdeki dosyaların listesini almak,
- cihazda belirtilen bir dosyanın veya bir dizinin varlığını doğrulamak,
- cihazdan bir dosya alın ve
- pano içeriğini kopyalayın veya değiştirin.
Başlatma işleminden sonra, bu trojan SDK’sı, virüslü cihaz hakkında önemli miktarda teknik veri içeren bir istek göndererek bir C&C sunucusuyla iletişim kurar.
Jiroskop, manyetometre vb. gibi sensörlerden gelen veriler, bir emülatör ortamını tanımlamak ve güvenlik araştırmacıları tarafından tespit edilmekten kaçınmak için modülün çalışma rutinini değiştirmek için kullanılabilir.
Analiz yaparken ağ bağlantılarını gizlemek için, aynı nedenle cihaz proxy ayarlarını yok sayar.
Modül, sunucudan bir URL listesi isteyerek yanıt verir ve ardından banner reklamları göstermek için WebView’da açar.
“Bu, truva atı modülünün operatörlerinin bir kullanıcının cihazından gizli bilgileri ve dosyaları almasına izin veriyor.
Bunun için saldırganların ilgili kodu reklam başlığının HTML sayfasına eklemesi gerekecek” diye açıklıyor araştırmacılar.
Bu truva atı SDK’sı, reklamlarla yüklü web sitelerinde çalışan JavaScript kodunun işlevselliğini artırır.
Çeşitli Uygulamalarda Trojan Modülü Bulundu
Doctor Web uzmanları, trojan modülünü ve onun sayısız varyasyonunu Google Play’de bulunan çeşitli uygulamalarda keşfetti.
Bazılarının içinde hala tehlikeli SDK bulunurken, bazılarının sadece belirli sürümlerinde vardı veya katalogdan tamamen silinmişti.
Kötü amaçlı yazılım araştırmacıları tarafından, toplamda en az 421.290.300 indirmeye sahip 101 uygulamada bulundu.
Sonuç olarak, Android cihazlarını kullanan yüz milyonlarca insan siber casusluğun kurbanı olma riskiyle karşı karşıya.
Google, keşfedilen tehdit hakkında Doctor Web tarafından bilgilendirildi.
Trojan SDK Taşıdığı Bulunan En Popüler 10 Program
- Noizz: müzikli video düzenleyici (en az 100.000.000 kurulum),
- Zapya – Dosya Aktarımı, Paylaşım (en az 100.000.000 kurulum; trojan modülü 6.3.3 ila 6.4 sürümü arasında mevcuttu ve mevcut 6.4.1 sürümünde artık mevcut değil),
- VFly: video düzenleyici ve video oluşturucu (en az 50.000.000 kurulum),
- MVBit – MV video durum oluşturucu (en az 50.000.000 kurulum),
- Biugo – video yapıcı ve video düzenleyici (en az 50.000.000 kurulum),
- Crazy Drop (en az 10.000.000 kurulum),
- Cashzine – Para ödülü kazanın (en az 10.000.000 kurulum),
- Fizzo Novel – Çevrimdışı Okuma (en az 10.000.000 kurulum),
- CashEM: Ödüller Alın (en az 5.000.000 kurulum),
- Tik: kazanmak için izleyin (en az 5.000.000 kurulum).
Dr.Web raporu, Android’in bilinen tüm sürümlerinin Android için Dr.Web anti-virüs tarafından etkili bir şekilde algılanıp etkisiz hale getirildiğini öne sürüyor.
Spy.SpinOk trojan modülü ve onu içeren programlar kaldırıldı. Böylece, kullanıcılar bu zararlı uygulama nedeniyle risk altında değildir.
CISO’ların Karşılaştığı Ortak Güvenlik Sorunları? – Ücretsiz CISO Kılavuzunu İndirin