Csaknem fél milliárd androidos készülékre juthatott el egy kémprogram

A Doctor Web fedezett fel egy kémprogramot, amely csaknem fél milliárd androidos készülékre juthatott el. A kártevő, amit ‘SpinOk’ néven azonosítottak, képes ellopni a felhasználók eszközein tárolt privát adatokat és továbbítani egy távoli szerverre. Az antivírus vállalat, a Doctor Web biztonsági kutatói figyelmeztetnek, hogy a SpinOk látszólag legális működést mutat, mini játékokat használva, amelyek “napi jutalmakhoz” vezetnek, hogy felkeltsék a felhasználók érdeklődését. Azonban a SpinOk háttérben futó trójai SDK-ja ellenőrzi az Android eszköz szenzoradatait (giroszkóp, mágneses érzékelő), hogy megbizonyosodjon arról, hogy nem fut homokozott környezetben, amelyet gyakran használnak a kutatók a potenciálisan káros Android alkalmazások elemzéséhez. Az alkalmazás kapcsolódik egy távoli szerverhez, hogy letöltse a mini játékokhoz szükséges URL-listát. Miközben a mini játékok a felhasználók által várt módon jelenínek meg, az SDK további káros funkciókat is végrehajthat, beleértve a könyvtárakban található fájlok felsorolását, különleges fájlok keresését, fájlok feltöltését az eszközről, valamint a vágólap tartalmának másolását és cseréjét. Ezenkívül aggasztó a fájlok kifacsarásának képessége, amely lehetővé teszi a privát képek, videók és dokumentumok kiszivárogtatását. Emellett a vágólap módosítási funkciója lehetővé teszi az SDK operátorainak, hogy ellopják a fiókjelszavakat és hitelkártyaadatokat, vagy átirányítsák a kriptovaluta fizetéseket a saját kriptovaluta pénztárcájukra. A Dr. Web szerint ez a kártevő 101 alkalmazásban található, amelyeket összesen 421,290,300 alkalommal töltöttek le a Google Play áruházból. A legtöbbet letöltött alkalmazások között szerepelnek:

• Noizz: videószerkesztő zenével (100,000,000 letöltés)
• Zapya: Fájlátvitel, Megosztás (100,000,000 letöltés)
• VFly: videószerkesztő&videó készítő (50,000,000 letöltés)
• MVBit: MV video állapot készítő (50,000,000 letöltés)
• Biugo: videó készítő&videó szerkesztő (50,000,000 letöltés)
• Crazy Drop: (10,000,000 letöltés)
• Cashzine: Pénzt keresni jutalommal (10,000,000 letöltés)
• Fizzo Novel: Offline olvasás (10,000,000 letöltés)
• CashEM: Szerezzen jutalmakat (5,000,000 letöltés)
• Tick: nézze meg, hogy pénzt keressen (5,000,000 letöltés)

A fenti alkalmazások közül csak egy maradt fenn a Google Play áruházban, ami azt sugallja, hogy a Google értesítéseket kapott a káros SDK-ról, és eltávolította az érintett alkalmazásokat, amíg a fejlesztők nem nyújtanak be tiszta verziót. A Dr. Web weboldalán megtalálható az összes SDK-t használó alkalmazás teljes listája. Ha valamelyik felsorolt alkalmazást használja, ajánlott frissíteni a legújabb verzióra, amely elérhető a Google Play áruházból, és amelynek tiszta állapotúnak kell lennie. Ha az alkalmazás nem elérhető az Android hivatalos alkalmazásboltjában, azonnal javasolt eltávolítani és átvizsgálni a készüléket egy mobil antivírus szoftverrel, hogy biztosan eltávolítsák a kémprogram maradványait. A BleepingComputer megkereste a Google-t, hogy nyilatkozatot tegyen erről a nagy fertőzési bázisról, de a kiadás idején nem állt rendelkezésre nyilvános nyilatkozat.