Reklam SDK olarak dağıtılan yeni bir Android kötü amaçlı yazılım, daha önce Google Play'de ve toplu olarak 400 milyondan fazla indirilen birden fazla uygulamada keşfedildi.
Dr. Web'deki güvenlik araştırmacıları, casus yazılım modülünü keşfetti ve 'spinok' olarak izledi ve kullanıcıların cihazlarında depolanan özel verileri çalabileceği ve uzak bir sunucuya gönderebileceğini söyledi.
Antivirüs şirketi, Spinkok'un kullanıcı ilgisini çekmek için "günlük ödüllere" yol açan mini oyunlar kullanarak görünüşte meşru bir davranış sergilediğini söylüyor.
Doctor Web'in raporu, "Yüzeyde, spinok modülü, Mini Oyunlar, bir görev sistemi ve ödüller ve ödül çizimleri iddiasıyla kullanıcıların uygulamalara olan ilgisini korumak için tasarlanmıştır."
Bununla birlikte, arka planda, Trojan SDK, potansiyel olarak kötü niyetli Android uygulamalarını analiz ederken araştırmacılar tarafından yaygın olarak kullanılan kum havuzu ortamında çalışmadığını doğrulamak için Android cihazın sensör verilerini (jiroskop, manyetometre) kontrol eder.
Uygulama daha sonra beklenen mini oyunları görüntülemek için kullanılan açılan URL'lerin bir listesini indirmek için uzak bir sunucuya bağlanır.
Mini oyunlar, uygulamaların kullanıcılarına beklendiği gibi görüntülenirken, Dr. Web, arka planda, SDK'nın dizinlerdeki dosyaları listelemek, belirli dosyaları aramak, cihazdan dosyaları yüklemek veya kopyalamak da dahil olmak üzere ek kötü amaçlı işlevsellik yapabileceğini söylüyor. ve pano içeriğinin değiştirilmesi.
Dosya exfiltration işlevi, özellikle özel resimleri, videoları ve belgeleri ortaya çıkarabileceği için ilgilidir.
Buna ek olarak, pano modifikasyonu işlev kodu, SDK'nın operatörlerinin hesap şifrelerini ve kredi kartı verilerini çalmasına veya kendi kripto cüzdan adreslerine kripto para ödemelerini kaçırmasına olanak tanır.
Dr. Web, bu SDK'nın Google Play'den toplam 421.290.300 kez kümülatif olarak indirilen 101 uygulamada bulunduğunu iddia ediyor: en çok indirilenler aşağıda listelendi:
Yukarıdaki uygulamalardan biri hariç tümü Google Play'den kaldırıldı, bu da Google'ın kötü amaçlı SDK hakkında raporlar aldığını ve geliştiriciler temiz bir sürüm gönderene kadar rahatsız edici uygulamaları kaldırdığını gösteriyor.
SDK kullanan uygulamaların tam bir listesi Dr. Web'in sitesinde bulunabilir.
Trojanize uygulamaların yayıncılarının SDK'nın distribütörü tarafından aldatılıp aldatılmadığı veya bilerek kodlarına dahil edilip edilmediği belirsizdir, ancak bu enfeksiyonlar genellikle bir üçüncü tarafın tedarik zinciri saldırısından kaynaklanmaktadır.
Yukarıda listelenen uygulamalardan herhangi birini kullanıyorsanız, Google Play aracılığıyla sunulan en son sürüme güncellemelisiniz, bu da temiz olmalıdır.
Uygulama Android'in Resmi App Store'da mevcut değilse, bunları hemen kaldırmanız ve herhangi bir casus yazılım artıklarının kaldırıldığından emin olmak için cihazınızı mobil bir antivirüs aracıyla taramanız önerilir.
BleepingComputer, bu büyük enfeksiyon tabanında bir açıklama için Google'a ulaştı, ancak yayın saatine göre bir yorum mevcut değildi.
Predator: Intellexa’nın Android casus yazılımlarının kaputuna bakıyorum
Siber suçlu çetesi, kötü amaçlı yazılımlarla milyonlarca Android cihazını önceden enfekte ediyor
Yeni Android Fluhorse kötü amaçlı yazılım şifrelerinizi çalıyor, 2FA Kodları
Yeni bukalemun android kötü amaçlı yazılım bankası, govt ve kripto uygulamaları
Android kötü amaçlı yazılım, 100 metre yükleme ile 60 Google Play uygulamalarına sızıyor
Kaynak: Bleeping Computer