Um novo malware Android distribuído como um SDK de anúncios foi descoberto em vários aplicativos, muitos deles anteriormente na Google Play e baixados coletivamente mais de 400 milhões de vezes.
Pesquisadores de segurança da Dr. Web descobriram o módulo de spyware e o rastrearam como 'SpinOk', alertando que ele pode roubar dados privados armazenados nos dispositivos dos usuários e enviá-los para um servidor remoto.
A empresa de antivírus diz que o SpinkOk demonstra um comportamento aparentemente legítimo, usando minijogos que levam a "recompensas diárias" para despertar o interesse do usuário.
"Na superfície, o módulo SpinOk é projetado para manter o interesse dos usuários em aplicativos com a ajuda de minijogos, um sistema de tarefas e supostos prêmios e sorteios de recompensas", explica o relatório da Doctor Web.
Em segundo plano, no entanto, o SDK trojan verifica os dados do sensor do dispositivo Android (giroscópio, magnetômetro) para confirmar que não está sendo executado em um ambiente sandbox, comumente usado por pesquisadores ao analisar aplicativos Android potencialmente maliciosos.
O aplicativo então se conecta a um servidor remoto para baixar uma lista de URLs abertas usadas para exibir minijogos esperados.
Embora os minijogos sejam exibidos aos usuários dos aplicativos conforme o esperado, a Dr. Web diz que, em segundo plano, o SDK é capaz de funcionalidades maliciosas adicionais, incluindo listar arquivos em diretórios, procurar por arquivos específicos, fazer upload de arquivos do dispositivo ou copiar e substituir o conteúdo da área de transferência.
A funcionalidade de exfiltração de arquivos é particularmente preocupante, pois pode expor imagens, vídeos e documentos privados.
Além disso, o código de funcionalidade de modificação da área de transferência permite que os operadores do SDK roubem senhas de contas e dados de cartões de crédito ou sequestrem pagamentos de criptomoedas para seus próprios endereços de carteira criptográfica.
A Dr. Web afirma que este SDK foi encontrado em 101 aplicativos que foram baixados um total acumulado de 421.290.300 vezes na Google Play, com os mais baixados listados abaixo:
- Zapya (100,000,000 downloads; Dr. Web diz que o módulo trojan estava presente nas versões 6.3.3 até a versão 6.4 e não está mais presente na versão atual 6.4.1)
- VFly (50,000,000 downloads)
- MVBit (50,000,000 downloads)
- Biugo (50,000,000 downloads)
- Crazy Drop (10,000,000 downloads)
- Cashzine (10,000,000 downloads)
- Fizzo Novel (10,000,000 downloads)
- CashEM (5,000,000 downloads)
- Tick: watch to earn (5,000,000 downloads)
Todos, exceto um dos aplicativos acima, foram removidos da Google Play, indicando que a Google recebeu relatórios sobre o SDK malicioso e removeu os aplicativos ofensivos até que os desenvolvedores enviassem uma versão limpa.
Uma lista completa dos aplicativos que supostamente usam o SDK pode ser encontrada no site da Dr. Web.
Não está claro se os editores dos aplicativos trojanizados foram enganados pelo distribuidor do SDK ou incluíram intencionalmente em seu código, mas essas infecções geralmente resultam de um ataque de cadeia de suprimentos de terceiros.
Se você usar qualquer um dos aplicativos listados acima, deve atualizar para a versão mais recente disponível via Google Play, que deve estar limpa.
Se o aplicativo não estiver disponível na loja oficial de aplicativos do Android, é recomendável desinstalá-lo imediatamente e escanear seu dispositivo com uma ferramenta antivírus móvel para garantir que quaisquer restos de spyware sejam removidos.
O BleepingComputer entrou em contato com a Google para obter uma declaração sobre esta base de infecção maciça, mas um comentário não estava disponível no momento da publicação.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...