Virenanalysten von Doctor Web haben kürzlich ein Android-Softwaremodul mit Spyware-Funktionen entdeckt. Besonders beunruhigend ist, dass das Modul in mindestens 101 Apps eingebettet ist, die zusammen mehr als 421 Millionen Mal heruntergeladen wurden.
Das Schadmodul verfügt über eine Vielzahl von Funktionen. Eine der Hauptfunktionen dieser Schadkomponente besteht darin, Informationen über Dateien auf den infizierten Geräten zu sammeln und diese Informationen an einen externen Server zu übertragen. Dies ermöglicht es Angreifern, vertrauliche und private Daten zu stehlen, die dann für verschiedene bösartige Zwecke missbraucht werden können.
Darüber hinaus ist das Modul in der Lage, den Inhalt der Zwischenablage des Benutzers an einen externen Server zu senden oder zu verändern.
Android-Spyware SpinOk: Versteckte Schadfunktionen
Das SpinOk-Modul erscheint auf den ersten Blick als ein harmloses und unterhaltsames Feature, das die Nutzer in der App halten soll. Es bietet eine Reihe von Minispielen, ein Aufgabensystem und gaukelt den Nutzern Gewinne und Belohnungen in Form von Bildern vor. Dieser scheinbar spielerische Ansatz dient jedoch einem gefährlicheren Zweck.
Sobald das SpinOk-Modul initialisiert wird, stellt es eine Verbindung zu einem Command-and-Control-Server (C&C) her. Dabei übermittelt es umfangreiche technische Informationen über das infizierte Gerät. Als Antwort erhält das Modul eine Liste von URLs, die es dem Benutzer über WebView anzeigt (in der Regel als Werbebanner).
Bemerkenswert ist, dass das Modul Informationen über vorhandene Sensoren wie Gyroskope und Magnetometer sammelt. Diese Daten ermöglichen es der Malware, eine Emulatorumgebung zu erkennen. Wenn sie eine solche Umgebung findet, kann sie andere Codepfade und Funktionen auslösen. Diese Fähigkeit stellt eine zusätzliche Herausforderung für Malware-Analysten dar, da sie die Analyse und Entschlüsselung der Malware erheblich erschwert.
Liste der betroffenen Apps
Die Virenanalysten von Doctor Web haben ihre Entdeckungen detailliert dokumentiert und stellen eine Liste von Indicators of Compromise (IoCs) zur Verfügung. Diese Liste, die Paketnamen, App-Titel und Hashwerte enthält, wird in einem eigens dafür eingerichteten Github-Repository veröffentlicht.
Wer feststellt, dass er eine der in der Liste aufgeführten Apps installiert hat, sollte sie umgehend von seinem Smartphone entfernen, um die Datenintegrität und -sicherheit seines Geräts zu gewährleisten.
Das Forschungsteam hat bestätigt, dass es Google über seine Entdeckungen informiert hat.
Betroffen sind unter anderem folgende Apps:
Bank Bingo Slot, Jelly Connect, Mega Win Slots, Lucky Clover Bingo, Jackpot King – Coin Pusher, Owl Pop Mania, Daily Step, Get Rich Scanner, Star Quiz, Lucky Jackpot Pusher, Pic Pro – AI Photo Enhancer, PlayBox: Rewarded Play, Mission Guru: Brain Boost, Bubble Connect – puzzle match, Novelah – Read fiction & novel, CashEM:Get Rewards, VFly: video editor&video maker, Biugo-video maker&video editor, Noizz: video editor with music, InstaCash:Earn rewards, VibeTik, Bingo Tour, Coin Big Bang, Gold Miner Coin Dozer, Match Fun 3D, SurveyKing – Earn from surveys, Holiday Solitaire Party, Step Counter:Keep Fit, Survey Cash – Earn Easy Cash, BitCoin Connect, Mega Blast Tree, Treasure Scanner, Mega Coin Dozer, TT Tube:Short Video, Space Pop: Bubble Shooter, Crazy Drop, WOW Domino, Cake Factory:Pop Match3, Solitaire Arena, Domino Master.