Android casus yazılımı SpinOk’un 421 milyondan fazla kurulumu var

Draqon

Aktif Üye
Doktor Web virüsü analistleri, Google Play mağazasında en az 421 milyon indirme ile 101 uygulama getiren bir casus yazılım bileşeni keşfettiler. Kötü amaçlı bileşen, virüslü cihazlardaki dosyalar hakkında bilgi toplar ve bunları beyinlere de iletebilir.


Ek olarak, Doctor Web’in BT güvenlik araştırmacılarının uyarılarına göre, kötü amaçlı yazılım pano içeriğini ağdaki sunuculara gönderebilir veya değiştirebilir. Kötü amaçlı yazılım bileşeni, geliştiricilerin uygulamalarına kolayca entegre edebilecekleri bir pazarlama SDK’sı olarak gizlenmiştir.

Android casus yazılımı SpinOk: Gizli kalmış kötü amaçlı işlevler


Yüzeyde SpinOk modülü, uygulama kullanıcılarının ilgisini canlı tutan bir araç olarak görünür. Ayrıca mini oyunlar, bir görev sistemi ve iddia edilen karlar ve ödül resimleri sağlar. Ancak, başlatmanın ardından, truva atı uygulanan SDK bir komut ve kontrol (C&C) sunucusuna bağlanarak virüslü cihaz hakkında büyük miktarda teknik bilgi iletir. Yanıt olarak, kötü amaçlı yazılım, bir Web Görünümü kullanarak görüntülediği bir URL listesi alır – bunlar reklam afişleridir.


İletilen veriler ayrıca kötü amaçlı yazılımın bir emülatör ortamını algılamak ve gerekirse diğer kod yollarını ve işlevleri kullanmak için kullanabileceği jiroskoplar, manyetometreler ve benzerleri gibi mevcut sensörler hakkında bilgiler içerir. Bu, kötü amaçlı yazılım analistlerinin onu analiz etmesini zorlaştırır. Aynı nedenle kötü amaçlı yazılım, ağ bağlantılarını basit analizden gizlemek için proxy ayarlarını da yok sayar.

Yenilenmiş JavaScript


Analistlere göre, kötü amaçlı SDK, reklamları görüntüleyen web sayfalarındaki gömülü Javascript kodunun detayına giriyor. Belirli dizinlerdeki dosyaların bir listesini almak veya bir aygıtta belirli bir dosyanın veya yolun varlığını kontrol etmek için koda işlevler ekler. Ayrıca cihazdan dosya yükleyebilir ve panodaki içeriği kopyalayabilir veya değiştirebilir. Bu, kötü amaçlı modülün arkasındaki beyinlerin gizli bilgilere veya dosyalara erişmesine olanak tanır.


Google Play Store’da tespit edilen uygulamalardan bazıları bugüne kadar Spyware SDK’sını veya varyantlarını içeriyordu. Diğer uygulamalar, onu yalnızca belirli sürümlere dahil etti veya o zamandan beri uygulama kataloğundan tamamen kaldırıldı.

Virüs analistleri, bu amaç için özel olarak kurulmuş bir Github deposunda paket adları, uygulama başlıkları ve karma değerler gibi uzlaşma göstergelerinin (IoC’ler) ayrıntılı bir listesini sunar. Listelenen uygulamalardan birini yükleyen herkes, onu akıllı telefonundan hemen kaldırmalıdır. BT güvenlik araştırmacıları, bulgularını Google’a bildirdiklerini belirtiyor. Yine de, “Noizz: müzikli video düzenleyici” gibi bazı uygulamalar burada hala mevcuttur. Görünüşe göre, Google Play Protect kullanılarak otomatik kaldırma henüz gerçekleşmedi.

En popüler kötü amaçlı yazılım uygulamaları şunlardır:

  • Noizz: müzikli video düzenleyici (100 milyondan fazla indirme),
  • Zapya – Dosya Aktarımı, Paylaşma (100 milyondan fazla indirme; 6.3.3 ila 6.4 sürümünde bulunan, artık 6.4.1’de olmayan Truva atları),
  • VFly: video düzenleyici ve video oluşturucu (50 milyondan fazla indirme),
  • MVBit – MV video durum oluşturucu (50 milyondan fazla indirme),
  • Biugo – video yapımcısı ve video düzenleyici (50 milyondan fazla indirme),
  • Crazy Drop (10 milyondan fazla indirme),
  • Cashzine – Para ödülü kazanın (10 milyondan fazla indirme),
  • Fizzo Novel – Çevrimdışı Okuma (10 milyondan fazla indirme),
  • CashEM: Ödüller Alın (5 milyondan fazla indirme),
  • Tik: kazanmak için izleyin (5 milyondan fazla indirme).
Eset BT araştırmacıları, geçen hafta 50.000’den fazla yüklemeye sahip Truva atı içeren bir uygulama keşfetti. Uygulama ilk başta zararsızdı, ancak Play Store’da ilk kez ortaya çıktıktan yaklaşık bir yıl sonra casusluk yetenekleri kazandı.


(dmk)



Haberin Sonu