Un APK usato su app scaricate oltre 421 mln di volte nascondeva un pericoloso trojan

Doctor Web ha scoperto una componente software per Android con funzionalità di spyware. Raccoglie informazioni sui file memorizzati sui dispositivi ed è in grado di trasferirli a attori malintenzionati. Può anche sostituire e caricare il contenuto degli appunti su un server remoto. Chiamata Android.Spy.SpinOk, questa componente viene distribuita come SDK per il marketing. Gli sviluppatori possono integrarla in varie app e giochi, compresi quelli disponibili su Google Play.

Sulla superficie, la componente SpinOk è progettata per mantenere alto l’interesse degli utenti nelle app attraverso mini giochi, un sistema di compiti e incentivi come estrazioni, concorsi e premi di varia natura. Durante l’inizializzazione, questa componente trojan si connette a un server C&C inviando una richiesta contenente una grande quantità di informazioni tecniche sul dispositivo infetto. Vengono inclusi dati dai sensori, ad esempio giroscopio, magnetometro, ecc., che possono essere utilizzati per rilevare un ambiente di emulazione e regolare la routine operativa della componente al fine di evitare di essere rilevati dai ricercatori di sicurezza. Per lo stesso scopo, ignora le impostazioni del proxy del dispositivo, il che le consente di nascondere le connessioni di rete durante l’analisi. In risposta, la componente riceve una lista di URL dal server, che quindi apre in WebView per mostrare banner pubblicitari.

Il dato allarmante? Questo SDK è stato utilizzato su decine di app diverse (101 quelle intercettate dai ricercatori) che, cumulativamente, sarebbero state scaricate oltre 421 milioni di volte. Report completo a questo link.