Выбирай : Покупай : Используй
0

«Доктор Веб» обнаружила Android-приложения со шпионским модулем SpinOk

Компания «Доктор Веб» выявила программный модуль для ОС Android, который обладает шпионскими функциями. Он собирает...

Компания «Доктор Веб» выявила программный модуль для ОС Android, который обладает шпионскими функциями. Он собирает информацию о хранящихся на устройствах файлах, способен передавать их злоумышленникам, а также может подменять и загружать содержимое буфера обмена на удаленный сервер. Этот модуль распространяется под видом маркетингового SDK и встраивается разработчиками в различные Android-игры и приложения, доступные в том числе в Google Play. По классификации Dr.Web он получил имя Android.Spy.SpinOk.

Вирусные аналитики компании «Доктор Веб» обнаружили его в 101 программе, которые суммарно были загружены не менее 421290300 раз.

Модуль SpinOk предназначен для удержания пользователей в приложениях с помощью мини-игр, системы заданий, а также якобы розыгрышей призов. При инициализации это троянское SDK соединяется с C&C-сервером, отправляя на него запрос с множеством технических данных о зараженном устройстве. Среди них — данные сенсоров, таких как гироскоп, магнитометр и т.д., которые могут использоваться для распознавания работы в среде эмуляторов и корректировки работы вредоносного приложения во избежание обнаружения его активности исследователями. С этой же целью игнорируются и настройки прокси устройства, что позволяет скрыть сетевые подключения при анализе. В ответ модуль получает от управляющего сервера список ссылок, которые тот загружает в WebView для демонстрации рекламных баннеров.

Специалисты компании «Доктор Веб» выявили этот троянский модуль и несколько его модификаций в целом ряде приложений, распространявшихся через каталог Google Play.

Некоторые из них содержат вредоносный SDK до сих пор, другие имели его лишь в определенных версиях либо уже удалены. Вирусные аналитики обнаружили его в 101 программе, которые суммарно были загружены не менее 421290300 раз. Таким образом, сотни миллионов владельцев Android-устройств рискуют стать жертвами кибершпионажа.

Компания «Доктор Веб» оповестила корпорацию Google о выявленной угрозе.

При этом троянский SDK расширяет возможности JavaScript-кода, выполняемого на загружаемых рекламных веб-страницах. Оно добавляет такому коду множество возможностей, среди которых: получение списка файлов в указанных директориях; проверка наличия; заданного файла или директории на устройстве; получение файла с устройства; получение и изменение содержимого буфера обмена.

Это позволяет тем, кто управляет данным троянским модулем, получать конфиденциальную информацию и файлы с устройства пользователя. Например, файлы, доступ к которым есть у приложения со встроенным Android.Spy.SpinOk. Для этого злоумышленникам понадобится добавить соответствующий код в HTML-страницу рекламного баннера.

Комментарии