本文来自E安全。
近日,安全研究人员发现了一种新的Android木马,它可能危害到4.21亿台设备。
Doctor Web团队在上周发布的公告中,公布了有关木马的信息,该木马被称为Android.Spy.SpinOk。
SpinOk具有多种间谍软件功能,包括文件收集和剪贴板内容捕获。该木马可以嵌入其他应用程序中,这就是它传播以感染数百万设备的方式。
SpinOk模块似乎可以为用户提供吸引人的功能,例如迷你游戏、任务和奖品机会。但是,在激活后,此特洛伊木马SDK会建立与命令和控制(C2)服务器的连接,传输有关受感染设备的大量技术数据。
Dr.Web点名被恶意植入木马病毒的App多达101个,累积下载量超过4.2亿次,其中甚至不乏被用户大量下载的热门App,如影片剪辑工具"Noizz"、文档传输工具"Zapya",这些APP的下载量都超过1亿次。
以下为Dr.Web列出10款最热门的受影响App:
影片剪辑工具Noizz(下载量1亿次以上)
文档传输工具Zapya(下载量1亿次以上)
影片剪辑工具VFly(下载量5千万次以上)
MV剪辑工具MVBit(下载量5千万次以上)
影片制作Biugo(下载量5千万次以上)
手机小游戏Crazy Drop(下载量1千万次以上)
每日金钱奖励Cashzine(下载量1千万次以上)
脱机阅读工具Fizzo Novel(下载量1千万次以上)
每日奖励CashEM(下载量5百万次以上)
观看影片获取奖励Tick(下载量5百万次以上)
Viakoo首席执行官巴德·布鲁姆黑德(Bud Broomhead)表示:“威胁行为者已深入挖掘Android游戏的利基市场,这些游戏专注于为玩家赚钱。”
他还表示,“他们很可能出于某种原因专注于该利基市场,例如观察这些资金转移到银行账户或玩家将拥有可以进一步利用的特定文件的可能性。”
这些数据包括来自各种传感器(陀螺仪、磁力计等)的信息,使模块能够识别仿真器环境并调整其操作以避免被安全研究人员检测到。
此外,恶意软件可以忽略设备代理设置,从而在分析过程中隐藏网络连接。作为回报,它会从服务器接收URL列表,并将其加载到WebView中以展示广告横幅。
Doctor Web专家在Google Play上的几个应用程序中检测到木马模块及其各种迭代的存在。虽然有些仍然包含恶意软件开发工具包(SDK),但其他一些仅包含特定版本或已从平台中完全删除。
Zimperium产品战略副总裁Krishna Vishnubhotla解释说:“对于移动应用程序开发人员来说,SDK大多是黑盒子。所有这些都集成在一起以完成特定的已知任务,无论是免费的还是付费的。但没有人检查SDK还能做什么,尤其是当它在最终用户设备上的应用程序中运行时。”
Krishna Vishnubhotla说道:“恶意行为者也不会让这变得简单,因为大多数可疑活动代码只有在设备上满足特定条件时才会下载,以避免被发现。”
Doctor Web表示,其分析显示该木马存在于101个应用程序中,总下载量为421,290,300次。该公司证实他们已将这一威胁通知了谷歌。
链接:https://mp.weixin.qq.com/s/A9FDAEv43qE5oDD7TTEZ1g
