Egy új kártevő felfedezése az Android rendszerben
Egy új kártevőt fedeztek fel az Android rendszerben, amelyet hirdetési SDK-ként terjesztenek. Ez a kártékony program számos alkalmazásban megtalálható, amelyek korábban elérhetőek voltak a Google Play áruházban, és összesen több mint 400 millió alkalommal töltötték le őket.
A SpinOk káros modul felfedezése
A Dr. Web biztonsági kutatói fedezték fel a kémprogram modult, amelyet „SpinOk”-nak neveztek el, és figyelmeztettek arra, hogy képes ellopni a felhasználók eszközein tárolt privát adatokat, majd továbbítani azokat egy távoli szerverre. Az antivírus cég szerint a SpinOk kártékony tevékenységeket rejt el, és mini játékokat használ, amelyek „napi jutalmakat” kínálnak, hogy felkeltsék a felhasználók érdeklődését. A Doctor Web jelentése szerint a SpinOk modul az alkalmazások felhasználói érdeklődését kelti mini játékokkal, feladatokkal és állítólagos nyereményekkel.
A kártékony funkciók
A trójai SDK a háttérben ellenőrzi az Android eszköz szenzoradatait, például a giroszkópot és a mágneses érzékelőt, hogy megállapítsa, nem fut-e homokozott környezetben, amit a kutatók gyakran használnak a potenciálisan veszélyes Android alkalmazások elemzésére.
Az alkalmazás ezután kapcsolódik egy távoli szerverhez, hogy letöltse a mini játékok megjelenítéséhez szükséges URL-listát. Miközben a mini játékok a felhasználóknak a várt módon jelennek meg, a Dr. Web szerint az SDK további káros funkciókat is képes végrehajtani a háttérben. Ide tartozik például a könyvtárakban található fájlok listázása, különleges fájlok keresése, fájlok feltöltése az eszközről, valamint a vágólap tartalmának másolása és cseréje.
A fájl exfiltrációs funkció különösen aggasztó, mivel ez lehetővé teszi a privát képek, videók és dokumentumok kiexponálását. Emellett a vágólap módosítási funkció kódja lehetővé teszi az SDK operátorainak, hogy ellophassák a felhasználók fiókjelszavait és hitelkártya adatait, vagy eltérítsék a kriptovaluta fizetéseket saját kriptovaluta pénztárcacímükre.
Az érintett alkalmazások
A Dr. Web szerint az SDK-t 101 alkalmazásban találták meg, amelyeket összesen 421,290,300 alkalommal töltöttek le a Google Play áruházból. A legtöbbet letöltött alkalmazások a következők:
- Noizz: videószerkesztő zenével (100,000,000 letöltés)
- Zapya – Fájlátvitel, Megosztás (100,000,000 letöltés; a Dr. Web szerint a trójai modul a 6.3.3-as verziótól a 6.4-es verzióig volt jelen, és már nincs jelen a jelenlegi 6.4.1-es verzióban)
- VFly: videószerkesztő&videó készítő (50,000,000 letöltés)
- MVBit – MV video állapot készítő (50,000,000 letöltés)
- Biugo – videó készítő&videó szerkesztő (50,000,000 letöltés)
- Crazy Drop (10,000,000 letöltés)
- Cashzine – Pénzt keresni jutalommal (10,000,000 letöltés)
- Fizzo Novel – Offline olvasás (10,000,000 letöltés)
- CashEM: Szerezzen jutalmakat (5,000,000 letöltés)
- Tick: nézze meg, hogy pénzt keressen (5,000,000 letöltés)
A fent említett alkalmazások közül csak egy maradt elérhető a Google Play áruházban, ami arra utal, hogy a Google értesítéseket kapott a kártékony SDK-ról, és eltávolította az érintett alkalmazásokat, amíg a fejlesztők tiszta verziót nem nyújtanak be. A Dr. Web weboldalán megtalálható a jelentés szerint az SDK-t használó összes alkalmazás listája.
Mit tehet a felhasználó?
Ha Ön valamelyik fent említett alkalmazást használja, mindenképpen frissítse azt a legújabb verzióra, amelyet a Google Play áruházon keresztül érhet el, és amelynek tisztának kell lennie. Ha az alkalmazás nem érhető el az Android hivatalos alkalmazásboltjában, azonnal távolítsa el, és futtasson mobil antivírus vizsgálatot a készülékén a kémprogram maradványainak biztos eltávolítása érdekében.
Forrás: www.pccloud.hu