I ricercatori di Dr. Web hanno scoperto un nuovo malware per Android nascosto nel Software Development Kit usato dagli sviluppatori per visualizzare le inserzioni pubblicitarie. Lo spyware, denominato SpinOk, è stato individuato in oltre 100 app pubblicate sul Google Play Store. Quasi tutte sono state rimosse dall’azienda di Mountain View dopo aver ricevuto la segnalazione.
SpinOk ruba i dati degli utenti
SpinOk è un modulo dell’SDK che viene apparentemente usato per trattenere gli utenti nelle app attraverso mini giochi, l’esecuzione di compiti e presunte estrazioni a premi. In realtà si collega al server C&C (command and control) per l’invio di numerosi dati del dispositivo, tra cui quelli sui sensori che consentono di rilevare la presenza di emulatori usati dai ricercatori per analizzare il codice delle app.
Il malware ignora le impostazioni del proxy per nascondere le connessioni di rete e quindi riceve dal server un elenco di URL, dai quali carica la WebView per la visualizzazione delle inserzioni pubblicitarie. Contemporaneamente, l’SDK esegue una serie di attività in background, come la ricerca dei file nelle directory, il download dei file e la copia o sostituzione del contenuto degli appunti.
Queste attività permettono di rubare dati personali (documenti, immagini e video) e intercettare password, numeri della carte di credito e indirizzi dei wallet di criptovalute, se l’utente usa la funzione di copia e incolla. Lo spyware è stato trovato in 101 app scaricate complessivamente oltre 421 milioni di volte. Queste sono le 10 app più scaricate:
- Noizz: video editor with music (100.000.000 di installationi)
- Zapya – File Transfer, Share (100.000.000)
- VFly: video editor&video maker (50.000.000)
- MVBit – MV video status maker (50.000.000)
- Biugo – video maker&video editor (50.000.000),
- Crazy Drop (10.000.000)
- Cashzine – Earn money reward (10.000.000)
- Fizzo Novel – Reading Offline (10.000.000)
- CashEM: Get Rewards (5.000.000)
- Tick: watch to earn (5.000.000)
Alcune sono state aggiornate dagli sviluppatori, eliminando l’SDK infetto. Le altre sono state rimosse da Google. Gli utenti devono eliminare subito le app dai loro dispositivi.