{"id":2617,"date":"2023-05-31T12:09:13","date_gmt":"2023-05-31T10:09:13","guid":{"rendered":"https:\/\/www.felix-bauer-it.de\/blog\/?p=2617"},"modified":"2023-05-31T12:58:03","modified_gmt":"2023-05-31T10:58:03","slug":"android-spyware-spinok-ueber-400-millionen-downloads","status":"publish","type":"post","link":"https:\/\/www.felix-bauer-it.de\/blog\/android-spyware-spinok-ueber-400-millionen-downloads\/","title":{"rendered":"Android-Spyware SpinOk: \u00dcber 400 Millionen Downloads"},"content":{"rendered":"<p>Virenanalysten von Doctor Web haben k\u00fcrzlich <a href=\"https:\/\/news.drweb.com\/show\/?i=14705&amp;lng=en\" data-type=\"URL\" data-id=\"https:\/\/news.drweb.com\/show\/?i=14705&amp;lng=en\" target=\"_blank\" rel=\"noreferrer noopener\">ein Android-Softwaremodul mit Spyware-Funktionen entdeckt<\/a>. Besonders beunruhigend ist, dass das Modul in mindestens 101 Apps eingebettet ist, die zusammen mehr als 421 Millionen Mal heruntergeladen wurden.<\/p>\n\n\n<div class=\"wp-block-image screenshot\">\n<figure class=\"aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"700\" height=\"392\" src=\"https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/05\/android-malware-700x392.png\" alt=\"Android Malware\" class=\"wp-image-2640\" srcset=\"https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/05\/android-malware-700x392.png 700w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/05\/android-malware-300x168.png 300w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/05\/android-malware-768x430.png 768w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/05\/android-malware-800x448.png 800w, https:\/\/www.felix-bauer-it.de\/blog\/wp-content\/uploads\/2023\/05\/android-malware.png 1456w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><\/figure><\/div>\n\n\n<p>Das Schadmodul verf\u00fcgt \u00fcber eine Vielzahl von Funktionen. Eine der Hauptfunktionen dieser Schadkomponente besteht darin, Informationen \u00fcber Dateien auf den infizierten Ger\u00e4ten zu sammeln und diese Informationen an einen externen Server zu \u00fcbertragen. Dies erm\u00f6glicht es Angreifern, vertrauliche und private Daten zu stehlen, die dann f\u00fcr verschiedene b\u00f6sartige Zwecke missbraucht werden k\u00f6nnen.<\/p>\n\n\n\n<p>Dar\u00fcber hinaus ist das Modul in der Lage, den Inhalt der Zwischenablage des Benutzers an einen externen Server zu senden oder zu ver\u00e4ndern.<\/p>\n\n\n\n<!--more-->\n\n\n\n<h2 class=\"wp-block-heading\">Android-Spyware SpinOk: Versteckte Schadfunktionen<\/h2>\n\n\n\n<p>Das SpinOk-Modul erscheint auf den ersten Blick als ein harmloses und unterhaltsames Feature, das die Nutzer in der App halten soll. Es bietet eine Reihe von Minispielen, ein Aufgabensystem und gaukelt den Nutzern Gewinne und Belohnungen in Form von Bildern vor. Dieser scheinbar spielerische Ansatz dient jedoch einem gef\u00e4hrlicheren Zweck.<\/p>\n\n\n\n<p>Sobald das SpinOk-Modul initialisiert wird, stellt es eine Verbindung zu einem Command-and-Control-Server (C&amp;C) her. Dabei \u00fcbermittelt es umfangreiche technische Informationen \u00fcber das infizierte Ger\u00e4t. Als Antwort erh\u00e4lt das Modul eine Liste von URLs, die es dem Benutzer \u00fcber WebView anzeigt (in der Regel als Werbebanner).<\/p>\n\n\n\n<p>Bemerkenswert ist, dass das Modul Informationen \u00fcber vorhandene Sensoren wie Gyroskope und Magnetometer sammelt. Diese Daten erm\u00f6glichen es der Malware, eine Emulatorumgebung zu erkennen. Wenn sie eine solche Umgebung findet, kann sie andere Codepfade und Funktionen ausl\u00f6sen. Diese F\u00e4higkeit stellt eine zus\u00e4tzliche Herausforderung f\u00fcr Malware-Analysten dar, da sie die Analyse und Entschl\u00fcsselung der Malware erheblich erschwert.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Liste der betroffenen Apps<\/h2>\n\n\n\n<p>Die Virenanalysten von Doctor Web haben ihre Entdeckungen detailliert dokumentiert und stellen eine Liste von Indicators of Compromise (IoCs) zur Verf\u00fcgung. Diese Liste, die Paketnamen, App-Titel und Hashwerte enth\u00e4lt, wird in einem eigens daf\u00fcr eingerichteten <a href=\"https:\/\/github.com\/DoctorWebLtd\/malware-iocs\/blob\/master\/Android.Spy.SpinOk\/README.adoc\" data-type=\"URL\" data-id=\"https:\/\/github.com\/DoctorWebLtd\/malware-iocs\/blob\/master\/Android.Spy.SpinOk\/README.adoc\" target=\"_blank\" rel=\"noreferrer noopener\">Github-Repository<\/a> ver\u00f6ffentlicht.<\/p>\n\n\n\n<p>Wer feststellt, dass er eine der in der Liste aufgef\u00fchrten Apps installiert hat, sollte sie umgehend von seinem Smartphone entfernen, um die Datenintegrit\u00e4t und -sicherheit seines Ger\u00e4ts zu gew\u00e4hrleisten.<\/p>\n\n\n\n<p>Das Forschungsteam hat best\u00e4tigt, dass es Google \u00fcber seine Entdeckungen informiert hat.<\/p>\n\n\n\n<p>Betroffen sind unter anderem folgende Apps:<\/p>\n\n\n\n<p>Bank Bingo Slot, Jelly Connect, Mega Win Slots, Lucky Clover Bingo, Jackpot King - Coin Pusher, Owl Pop Mania, Daily Step, Get Rich Scanner, Star Quiz, Lucky Jackpot Pusher, Pic Pro - AI Photo Enhancer, PlayBox: Rewarded Play, Mission Guru: Brain Boost, Bubble Connect - puzzle match, Novelah - Read fiction &amp; novel, CashEM:Get Rewards, VFly: video editor&amp;video maker, Biugo-video maker&amp;video editor, Noizz: video editor with music, InstaCash:Earn rewards, VibeTik, Bingo Tour, Coin Big Bang, Gold Miner Coin Dozer, Match Fun 3D, SurveyKing - Earn from surveys, Holiday Solitaire Party, Step Counter:Keep Fit, Survey Cash - Earn Easy Cash, BitCoin Connect, Mega Blast Tree, Treasure Scanner, Mega Coin Dozer, TT Tube:Short Video, Space Pop: Bubble Shooter, Crazy Drop, WOW Domino, Cake Factory\uff1aPop Match3, Solitaire Arena, Domino Master.<\/p>","protected":false},"excerpt":{"rendered":"<p>Virenanalysten von Doctor Web haben k\u00fcrzlich ein Android-Softwaremodul mit Spyware-Funktionen entdeckt. Besonders beunruhigend ist, dass das Modul in mindestens 101 Apps eingebettet ist, die zusammen mehr als 421 Millionen Mal heruntergeladen wurden. Das Schadmodul verf\u00fcgt \u00fcber eine Vielzahl von Funktionen. Eine der Hauptfunktionen dieser Schadkomponente besteht darin, Informationen \u00fcber Dateien auf den infizierten Ger\u00e4ten zu...<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6,1],"tags":[],"_links":{"self":[{"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/posts\/2617"}],"collection":[{"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/comments?post=2617"}],"version-history":[{"count":26,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/posts\/2617\/revisions"}],"predecessor-version":[{"id":2645,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/posts\/2617\/revisions\/2645"}],"wp:attachment":[{"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/media?parent=2617"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/categories?post=2617"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.felix-bauer-it.de\/blog\/wp-json\/wp\/v2\/tags?post=2617"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}