Csaknem fél milliárd androidos készülékre juthatott el egy kémprogram
A Doctor Web fedezett fel egy kémprogramot, amely csaknem
fél milliárd androidos készülékre juthatott el. A kártevő, amit ‘SpinOk’ néven azonosítottak, képes ellopni a felhasználók eszközein tárolt privát adatokat és továbbítani egy távoli szerverre.
Az antivírus vállalat, a Doctor Web biztonsági kutatói figyelmeztetnek, hogy a SpinOk
látszólag legális működést mutat, mini játékokat használva, amelyek
“napi jutalmakhoz” vezetnek, hogy felkeltsék a felhasználók érdeklődését. Azonban a SpinOk háttérben futó trójai SDK-ja ellenőrzi az Android eszköz szenzoradatait (giroszkóp, mágneses érzékelő), hogy megbizonyosodjon arról, hogy nem fut homokozott környezetben, amelyet gyakran használnak a kutatók a potenciálisan káros Android alkalmazások elemzéséhez.
Az alkalmazás kapcsolódik egy távoli szerverhez, hogy letöltse a mini játékokhoz szükséges URL-listát. Miközben a mini játékok a felhasználók által várt módon jelenínek meg, az SDK további káros funkciókat is végrehajthat, beleértve a könyvtárakban található fájlok felsorolását, különleges fájlok keresését, fájlok feltöltését az eszközről, valamint a vágólap tartalmának másolását és cseréjét.
Ezenkívül aggasztó a fájlok kifacsarásának képessége, amely lehetővé teszi a privát képek, videók és dokumentumok kiszivárogtatását. Emellett a vágólap módosítási funkciója lehetővé teszi az SDK operátorainak, hogy ellopják a fiókjelszavakat és hitelkártyaadatokat, vagy átirányítsák a kriptovaluta fizetéseket a saját kriptovaluta pénztárcájukra.
A Dr. Web szerint ez a kártevő 101 alkalmazásban található, amelyeket összesen 421,290,300 alkalommal töltöttek le a Google Play áruházból. A legtöbbet letöltött alkalmazások között szerepelnek:
- Noizz: videószerkesztő zenével (100,000,000 letöltés)
- Zapya: Fájlátvitel, Megosztás (100,000,000 letöltés)
- VFly: videószerkesztő&videó készítő (50,000,000 letöltés)
- MVBit: MV video állapot készítő (50,000,000 letöltés)
- Biugo: videó készítő&videó szerkesztő (50,000,000 letöltés)
- Crazy Drop: (10,000,000 letöltés)
- Cashzine: Pénzt keresni jutalommal (10,000,000 letöltés)
- Fizzo Novel: Offline olvasás (10,000,000 letöltés)
- CashEM: Szerezzen jutalmakat (5,000,000 letöltés)
- Tick: nézze meg, hogy pénzt keressen (5,000,000 letöltés)
A fenti alkalmazások közül csak egy maradt fenn a Google Play áruházban, ami azt sugallja, hogy a Google értesítéseket kapott a káros SDK-ról, és eltávolította az érintett alkalmazásokat, amíg a fejlesztők nem nyújtanak be tiszta verziót. A Dr. Web weboldalán megtalálható az összes SDK-t használó alkalmazás teljes listája.
Ha valamelyik felsorolt alkalmazást használja, ajánlott frissíteni a legújabb verzióra, amely elérhető a Google Play áruházból, és amelynek tiszta állapotúnak kell lennie. Ha az alkalmazás nem elérhető az Android hivatalos alkalmazásboltjában, azonnal javasolt eltávolítani és átvizsgálni a készüléket egy mobil antivírus szoftverrel, hogy biztosan eltávolítsák a kémprogram maradványait.
A BleepingComputer megkereste a Google-t, hogy nyilatkozatot tegyen erről a nagy fertőzési bázisról, de a kiadás idején nem állt rendelkezésre nyilvános nyilatkozat.