29. Mai 2023

Doctor Web hat ein Spyware-Modul für Android erkannt. Das Modul kann Informationen über auf dem Gerät gespeicherte Dateien sammeln, diese an Cyberkriminelle weiterleiten und den Inhalt des Pufferspeichers durch den von einem Fernserver geladenen Inhalt ersetzen. Das Modul wird als Marketing-SDK verbreitet und in verschiedene Android-Spiele und -Apps integriert, die unter anderem zum Herunterladen auf Google Play verfügbar sind. Die Bedrohung wurde als Android.Spy.SpinOk in die Dr.Web Virendatenbank eingetragen.

In infizierten Apps werden Nutzer aufgefordert, Mini-Spiele zu spielen und bestimmte Aufgaben zu erfüllen. Außerdem werden Nutzern verschiedene Preise versprochen. Bei der Initialisierung stellt das SDK eine Verbindung mit dem C&C-Server her und übermittelt verschiedene technische Informationen über das Gerät an den Server. Unter anderem werden Informationen über Sensoren (z.B. Gyroskop-Sensor, Magnetometer etc.) gesammelt. Solche Sensoren können zur Erkennung von Simulationsumgebungen verwendet werden, um die Erkennung von Bedrohungen durch Virenschutzanalysten zu verhindern. Aus demselben Grund werden Proxy-Einstellungen ignoriert. Dies ermöglicht es, die Erkennung von Netzwerkverbindungen zu verhindern. Als Antwort vom Verwaltungsserver erhält das Modul eine Liste von Links, die im WebView geladen werden und Werbebanner anzeigen.

Screenshots der von Android.Spy.SpinOk angezeigten Werbung:

Außerdem erweitert das Trojan-SDK die Funktionalität des auf geladenen Werbeseiten ausgeführten JavaScript-Codes. Die geladene Werbeseite kann:

• eine Liste von in bestimmten Verzeichnissen gespeicherten Dateien erstellen
• prüfen, ob sich eine bestimmte Datei oder ein bestimmtes Verzeichnis auf dem Gerät befindet
• Dateien aus dem Gerät kopieren
• den Inhalt des Pufferspeichers kopieren und ändern

Dies ermöglicht es Cyberkriminellen, vertrauliche Informationen und Dateien vom infizierten Gerät zu stehlen, z.B. Dateien, auf die Apps mit dem integrierten Android.Spy.SpinOk-Modul Zugriff haben. Dazu wird entsprechender Code in die HTML-Seite des Werbebanners integriert.

Die Spezialisten von Doctor Web haben das Trojaner-Modul und dessen Modifikationen in einer Reihe von über Google Play verbreiteten Apps gefunden. Einige davon enthalten das schädliche SDK immer noch, andere enthielten das Modul nur in bestimmten Versionen oder wurden bereits entfernt. Unsere Virenanalysten erkannten das Modul in 105 Apps, die insgesamt mindestens 421.290.300-mal heruntergeladen wurden. Millionen von Nutzern laufen also Gefahr, Opfer von Cyberspionage zu werden. Doctor Web hat Google über die erkannte Bedrohung informiert.

BHier sind die 10 mit Android.Spy.SpinOk infizierten Apps, die am häufigsten heruntergeladen wurden:



• Noizz – Videobearbeitungs-App (über 100.000.000-mal installiert)


• Zapya (Versionen 6.3.3 bis 6.4) – App zum Austausch von Dateien (über 100.000.000-mal installiert)
• VFly: video editor&video maker (über 50.000.000-mal installiert)
• MVBit - MV video status maker (über 50.000.000-mal installiert)
• Biugo – Videobearbeitungs-App (über 50.000.000-mal installiert)
• Crazy Drop (über 10.000.000-mal installiert)
• Cashzine - Earn money reward (über 10.000.000-mal installiert)
• Fizzo Novel - Reading Offline (über 10.000.000-mal installiert)
• CashEM:Get Rewards (über 5.000.000-mal installiert)
• Tick:watch to earn (über 5.000.000-mal installiert)

Die vollständige Liste der infizierten Apps finden Sie hier Link.

Dr.Web Mobile für Android erkennt und löscht alle bekannten Versionen von Android.Spy.SpinOk und die mit dem Modul infizierten Apps. Unsere Nutzer sind sicher vor der neuen Bedrohung geschützt.

Mehr über Android.Spy.SpinOk

Merkmale der Kompromittierung

Die Nachricht wurde am 15. September 2023 aktualisiert.

Die Vertreter von SpinOk haben Doctor Web kontaktiert, um die Ursachen der Infektion zu ermitteln und zu beseitigen. Nach der Untersuchung hat SpinOK die erkannten Probleme behoben und das Softwaremodul (com.spin.ok.gp) auf Version 2.4.2 aktualisiert, die keine bösartige Funktionalität enthält. Bericht über den Scan des aktualisierten Softwaremoduls.