Um grupo de investigadores descobriu um spyware, chamado SpinOk, escondido em 101 aplicações Android com mais de 400 milhões de downloads na Play Store.
O módulo malicioso é distribuído como um SDK de marketing que muitos desenvolvedores integram nas suas aplicações e jogos, incluindo os que estão disponíveis no Google Play. Ao executar o módulo, o SDK com malware conecta-se ao C2, devolvendo uma grande quantidade de informações do sistema sobre o dispositivo infetado.
As informações enviadas ao C2 incluem dados de sensores (como por exemplo, o giroscópio ou o magnetómetro) que permitem aos operadores determinar se o malware está a ser executado num dispositivo real ou num ambiente de emulador. O C2 por sua vez envia uma lista de URLs para o módulo, que as abre no WebView para mostrar banners publicitários.
O SDK malicioso também expande os recursos do código JavaScript executado em páginas da Web que contêm anúncios. Os pesquisadores observaram que o módulo adiciona muitos recursos ao código, incluindo a capacidade de obter a lista de arquivos em diretórios especificados, verificar a presença de um arquivo ou diretório especificado no dispositivo, obter um arquivo do dispositivo e copiar ou substituir o conteúdo da área de transferência.
Os operadores do módulo trojan podem usar esses recursos para roubar informações e arquivos confidenciais do dispositivo da vítima. Para o fazer, os agentes de ameaças só têm de injetar o código correspondente na página HTML do banner de anúncio.
Estas são as 10 apps mais populares que usam o Android.Spy.SpinOk trojan SDK: Noizz; Zapya; VFly; MVBit; Biugo; Crazy Drop; Cashzine; Fizzo Novel; CashEM e Marque-Page.
Se o seu smartphone fica lento constantemente, pode estar infetado por malware. Se lhe encontrar aplicações desconhecidas, exclua-as imediatamente. Sobreaquecimento e desgaste exagerado da bateria são outros sinais a que deve estar atento.
Fonte: Security Affairs
