Компания «Доктор Веб» выявила вредоносный программный модуль для ОС Android, обладающий шпионскими функциями — он может собирать информацию о хранящихся на устройствах файлах, передавать их злоумышленникам, а также подменять и загружать содержимое буфера обмена на удалённый сервер.
По классификации Dr.Web он получил имя Android.Spy.SpinOk. Модуль распространяется под видом маркетингового SDK, его встраивают в различные игры и приложения для Android, доступные в том числе в официальном магазине Google Play.
Модуль SpinOk предназначен для удержания пользователей в приложениях с помощью мини-игр, системы заданий и якобы розыгрышей призов. В компании рассказали:
При инициализации это троянское SDK соединяется с C&C-сервером, отправляя на него запрос с множеством технических данных о зараженном устройстве. Среди них — данные сенсоров, таких как гироскоп, магнитометр и т. д., которые могут использоваться для распознавания работы в среде эмуляторов и корректировки работы вредоносного приложения во избежание обнаружения его активности исследователями. С этой же целью игнорируются и настройки прокси устройства, что позволяет скрыть сетевые подключения при анализе. В ответ модуль получает от управляющего сервера список ссылок, которые тот загружает в WebView для демонстрации рекламных баннеров.
Специалисты обнаружили этот троянский модуль и несколько его модификаций в целом ряде приложений, распространявшихся через каталог Google Play. Некоторые из них содержат вредоносное SDK до сих пор, у других он был лишь в определённых версиях, третьи уже удалены.
Всего SpinOk обнаружили в 101 программе. Эти программы суммарно были загружены не менее 421 290 300 раз. В компании отмечают, что «сотни миллионов владельцев Android-устройств рискуют стать жертвами кибершпионажа». «Доктор Веб» оповестила корпорацию Google о выявленной угрозе.