:

Szerző: Dömös Zsuzsanna

2023. május 31. 11:51

400 millió eszközre jutott kémprogram a Google Play Store-ból

A "SpinOK" néven azonosított kártevő rendkívül érzékeny adatokhoz biztosított hozzáférést, egyelőre nem tudni, hogy a Google Playben fellelt több mint 100 érintett alkalmazás készítői szándékosan használták-e a kódot.

Hirdetői szoftverfejlesztői készletként (SDK) terjesztették rosszakarók azt az újonnan felfedezett androidos malware-t, ami a Google Play Áruházon keresztül számos felhasználóhoz jutott el. A fertőzött appokat összesen több mint 400 millió alkalommal töltötték le a keresőóriás platformjáról. Dr. Web antivírus-cég biztonsági szakemberei által azonosított „SpinOK” kémprogram-modul a fertőzött eszközön tárolt érzékeny személyes adatokat szipkázta össze, amiket aztán távoli szerverre irányított tovább a kiberbűnözőknek.

 A SpinkOK látszólag nem csinál semmi gyanúsat, úgy tervezték, hogy az alkalmazásokon belül folyamatosan napi jutalmakkal, játékokkal, apró nyereményekkel etesse a felhasználó figyelmét. A trójai azonban a háttérben közben folyamatosan ellenőrizte az androidos eszköz szenzoros adatait, hogy meggyőződjön arról, nem egy sandbox környezetben fut, amit a kutatók gyakran használnak egy potenciálisan rosszindulatú alkalmazás elemzésekor. Az app csak ezután csatlakozott a távoli szerverhez a minijátékok lekéréséhez.

android-malware

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Míg a minijátékok a várakozásoknak megfelelően megjelentek a felhasználóknak, az SDK a háttérben további rosszindulatú aktivitásokat végezhetett, beleértve a fájlok listázását könyvtárakból, bizonyos fájlok keresését, vagy akár fájlok feltöltését az eszközről vagy másolást, illetve a vágólap tartalmának cseréjét. A fájlkiszűrési funkció különösen aggasztó, mivel privát képeket, videókat és dokumentumokat juttathattak el ilyen módon az illetéktelen felekhez. Továbbá a vágólap módosításának képessége lehetővé tette elméletben az SDK üzemeltetői számára, hogy fiókjelszavakat és hitelkártyaadatokat lopjanak el, vagy eltérítsék a kriptovaluta fizetéseket saját kriptopénztárca címükre.

Az SDK-t a Dr. Web szakértői 101 alkalmazásban találták meg, amiket összesen 421 290 300 alkalommal töltöttek le a Google Play kínálatávól. A legnépszerűbb programok közt említhetők a Noizz videószerkesztő (egymillió letöltés), a Zapya fájlmegosztó (egymillió letöltés), a VFly videószerkesztő, a Fizzo Novel olvasóprogram. A Google az összes érintett appot eltávolította a Play Store-ból, amíg a fejlesztők nem tettek közzé egy tiszta verziót, mostanra már a frissített, a kémkedési funkciókat nem tartalmazó verziók érhetők el.

Egyelőre nem sikerült megállapítani, hogy a trójai alkalmazások fejlesztőit megtévesztette-e az SDK terjesztője, vagy szándékosan használták fel a kódot, de az ilyen típusú fertőzések jellemzően egy külsős felet érintő támadásból eredeztethetőek

a címlapról