SpinOk kötü amaçlı yazılımı, Google Play’deki yeni bir grup Android uygulamasında bulundu ve bildirildiğine göre 30 milyon kez daha yüklendi.
Bulgu, kötü amaçlı SDK’yı taşıyan 193 uygulama bulduğunu bildiren CloudSEK’in güvenlik ekibinden geliyor ve bunların 43’ü geçen hafta keşfedildiklerinde Google Play’de etkindi.
Google Play’de SpinOk
SpinOk, Dr. Web tarafından ilk olarak geçen ayın sonlarında toplu olarak 421 milyondan fazla indirilen yüz uygulamadan oluşan bir sette keşfedildi.
Mobil güvenlik şirketinin raporunda açıkladığı gibi SpinOk, birçok uygulamayı etkileyen ve buna bağlı olarak birçok Android kullanıcısını ihlal eden bir SDK tedarik zinciri saldırısı aracılığıyla dağıtıldı.
Yüzeyde, SDK, geliştiriciler tarafından kullanıcılarının ilgisini çekmek için yasal olarak kullanılan günlük ödülleri olan mini oyunlar sunuyordu. Ancak, arka planda, truva atı dosyaları çalmak ve pano içeriğini değiştirmek için kullanılabilir.
CloudSEK, daha fazla SpinOk bulaşmasını ortaya çıkarmak için Dr. Web’in raporunda sağlanan IoC’leri kullandı ve 92 uygulama daha keşfettikten sonra kötü uygulama listesini 193’e çıkardı. Bunların yaklaşık yarısı Google Play’de mevcuttu.
Yeni grubun en çok indirileni, 5 milyon yüklemeye sahip olan HexaPop Link 2248 oldu. Ancak, CloudSEK raporunu derlediğinden beri Google Play’den kaldırılmıştır.
SpinOk SDK’yı kullanan ve Google Play aracılığıyla indirilmeye devam eden diğer popüler uygulamalar şunlardır:
- Macaron Match (XM Studio) – 1 milyon indirme
- Macaron Boom (XM Studio) – 1 milyon indirme
- Jelly Connect (Bling Oyunu) – 1 milyon indirme
- Tiler Master (Zhinuo Teknolojisi) – 1 milyon indirme
- Crazy Magic Ball (XM Studio) – 1 milyon indirme
- Happy 2048 (Zhinuo Technology) – 1 milyon indirme
- Mega Win Slots (Jia22) – 500.000 indirme
CloudSEK, SpinOK tarafından yönetilen ek uygulamalar için toplu indirme sayısının 30.000.000’in üzerine çıktığını bildiriyor.
Bu uygulamaların geliştiricilerinin, kötü amaçlı işlevsellik içerdiğinden habersiz, muhtemelen bir reklam kitaplığı olduğunu düşünerek kötü amaçlı SDK’yı kullandıklarına dikkat edilmelidir.
Etkilenen uygulamaların tam listesi CloudSEK raporunun ek bölümünde bulunabilir.
Bu, belirli bir modülü kullanıyor olabilecek her projenin yerini belirlemenin zor olduğu ve risk düzeltme sürecinde ciddi gecikmelere yol açtığı Google Play mağazası gibi büyük yazılım dağıtım platformlarında tedarik zinciri saldırılarının tam olarak eşlenmesinin karmaşıklığının bir kanıtıdır.
CloudSEK, 2 Haziran 2023 Cuma günü keşfettiği yeni kötü amaçlı uygulamalar hakkında Google’a bilgi verdi ve BleepingComputer bu konuda Android ekibiyle iletişime geçti.
Google henüz yanıt vermedi ve CloudSEK’in raporunda listelenen uygulamaların çoğu, bu yazının yazıldığı tarihte hâlâ Google Play’de bulunuyor.