Bir reklam SDK’sı olarak dağıtılan yeni bir Android kötü amaçlı yazılımı, çoğu daha önce Google Play’de bulunan ve toplu olarak 400 milyondan fazla indirilen birden çok uygulamada keşfedildi.
Dr.Web’deki güvenlik araştırmacıları, casus yazılım modülünü keşfetti ve ‘SpinOk’ olarak takip ederek, bu modülün kullanıcıların cihazlarında saklanan özel verileri çalabileceği ve uzak bir sunucuya gönderebileceği konusunda uyarıda bulundu.
Antivirüs şirketi, SpinkOk’un kullanıcıların ilgisini çekmek için “günlük ödüllere” yol açan mini oyunlar kullanarak görünüşte meşru bir davranış sergilediğini söylüyor.
Doctor Web’in raporu, “Görünüşte, SpinOk modülü, mini oyunlar, bir görev sistemi ve iddia edilen ödüller ve ödül çizimleri yardımıyla kullanıcıların uygulamalara olan ilgisini sürdürmek için tasarlandı” diye açıklıyor.
Trojan SDK’sı arka planda Android cihazının sensör verilerini (jiroskop, manyetometre) kontrol ederek, potansiyel olarak kötü amaçlı Android uygulamalarını analiz ederken araştırmacılar tarafından yaygın olarak kullanılan korumalı bir ortamda çalışmadığını onaylar.
Uygulama daha sonra, beklenen mini oyunları görüntülemek için kullanılan açık URL’lerin bir listesini indirmek için uzak bir sunucuya bağlanır.
Kaynak: Dr.Web
Mini oyunlar, uygulamaların kullanıcılarına beklendiği gibi gösterilirken, Dr. Web, SDK’nın arka planda, dizinlerdeki dosyaları listeleme, belirli dosyaları arama, cihazdan dosya yükleme veya kopyalama dahil olmak üzere ek kötü amaçlı işlevsellik yeteneğine sahip olduğunu söylüyor. ve pano içeriğini değiştirme.
Özel görüntüleri, videoları ve belgeleri açığa çıkarabileceği için dosya hırsızlığı işlevi özellikle endişe vericidir.
Ek olarak, pano değiştirme işlevsellik kodu, SDK operatörlerinin hesap parolalarını ve kredi kartı verilerini çalmasına veya kendi kripto cüzdan adreslerine yapılan kripto para ödemelerini ele geçirmesine olanak tanır.
Dr.Web, bu SDK’nın Google Play’den kümülatif olarak toplam 421.290.300 kez indirilen 101 uygulamada bulunduğunu ve en çok indirilenlerin aşağıda listelendiğini iddia ediyor:
- Noizz: müzikli video düzenleyici (100.000.000 indirme)
- Zapya – Dosya Aktarımı, Paylaşma (100.000.000 indirme; Dr. Web, trojan modülünün 6.3.3 ila 6.4 sürümü arasında mevcut olduğunu ve mevcut 6.4.1 sürümünde artık bulunmadığını söylüyor)
- VFly: video düzenleyici ve video oluşturucu (50.000.000 indirme)
- MVBit – MV video durum oluşturucu (50.000.000 indirme)
- Biugo – video yapıcı ve video düzenleyici (50.000.000 indirme)
- Çılgın Düşüş (10.000.000 indirme)
- Cashzine – Para ödülü kazanın (10.000.000 indirme)
- Fizzo Novel – Çevrimdışı Okuma (10.000.000 indirme)
- CashEM: Ödüller Alın (5.000.000 indirme)
- Tik: kazanmak için izleyin (5.000.000 indirme)
Yukarıdaki uygulamalardan biri hariç tümü Google Play’den kaldırıldı; bu, Google’ın kötü amaçlı SDK hakkında raporlar aldığını ve geliştiriciler temiz bir sürüm gönderene kadar rahatsız edici uygulamaları kaldırdığını gösteriyor.
SDK’yı kullandığı bildirilen uygulamaların tam listesi Dr. Web’in sitesinde bulunabilir.
Truva atı bulaşmış uygulamaların yayıncılarının SDK’nın distribütörü tarafından mı kandırıldığı yoksa bunu bilerek kodlarına mı dahil ettiği net değil, ancak bu enfeksiyonlar genellikle üçüncü bir tarafın tedarik zinciri saldırısından kaynaklanır.
Yukarıda listelenen uygulamalardan herhangi birini kullanıyorsanız, temiz olması gereken Google Play’de bulunan en son sürüme güncellemelisiniz.
Uygulama, Android’in resmi uygulama mağazasında mevcut değilse, casus yazılım artıklarının kaldırıldığından emin olmak için bunları hemen kaldırmanız ve cihazınızı bir mobil antivirüs aracıyla taramanız önerilir.
BleepingComputer, bu büyük enfeksiyon tabanıyla ilgili bir açıklama için Google’a ulaştı, ancak yayınlanma zamanında herhangi bir yorum mevcut değildi.