Сотни миллионов владельцев Android-устройств рискуют стать жертвами кибершпионажа: приложения с вредоносным модулем установили более 421 млн раз
Компания «Доктор Веб» выявила вредоносный программный модуль для ОС Android, обладающий шпионскими функциями — он может собирать информацию о хранящихся на устройствах файлах, передавать их злоумышленникам, а также подменять и загружать содержимое буфера обмена на удаленный сервер.
![Сотни миллионов владельцев Android-устройств рискуют стать жертвами кибершпионажа: приложения с вредоносным модулем установили более 421 млн раз](https://www.ixbt.com/img/x780/n1/news/2023/4/1/ixbtmedia_ransomware_trojan_on_android_smartphone_107fbcc4-0a91-420c-b141-c9c876eb4633_large.png)
По классификации Dr.Web он получил имя Android.Spy.SpinOk. Модуль распространяется под видом маркетингового SDK, его встраивают в различные игры и приложения для Android, доступные в том числе в официальном магазине Google Play.
![Сотни миллионов владельцев Android-устройств рискуют стать жертвами кибершпионажа: приложения с вредоносным модулем установили более 421 млн раз](https://www.ixbt.com/img/x780x600/n1/news/2023/4/1/screenshot-news.drweb.ru-2023.05.29-17_53_02.png)
Модуль SpinOk предназначен для удержания пользователей в приложениях с помощью мини-игр, системы заданий, а также якобы розыгрышей призов. В компании рассказали:
При инициализации это троянское SDK соединяется с C&C-сервером, отправляя на него запрос с множеством технических данных о зараженном устройстве. Среди них — данные сенсоров, таких как гироскоп, магнитометр и т. д., которые могут использоваться для распознавания работы в среде эмуляторов и корректировки работы вредоносного приложения во избежание обнаружения его активности исследователями. С этой же целью игнорируются и настройки прокси устройства, что позволяет скрыть сетевые подключения при анализе. В ответ модуль получает от управляющего сервера список ссылок, которые тот загружает в WebView для демонстрации рекламных баннеров.
Специалисты обнаружили этот троянский модуль и несколько его модификаций в целом ряде приложений, распространявшихся через каталог Google Play. Некоторые из них содержат вредоносное SDK до сих пор, у других он был лишь в определенных версиях, третьи уже удалены.
![Сотни миллионов владельцев Android-устройств рискуют стать жертвами кибершпионажа: приложения с вредоносным модулем установили более 421 млн раз](https://www.ixbt.com/img/x780x600/n1/news/2023/4/1/screenshot-news.drweb.ru-2023.05.29-17_55_36_large.png)
Всего SpinOk обнаружили в 101 программе, которые суммарно были загружены не менее 421 290 300 раз. В компании отмечают, что «сотни миллионов владельцев Android-устройств рискуют стать жертвами кибершпионажа». «Доктор Веб» оповестила корпорацию Google о выявленной угрозе.
© iXBT