Un nuevo malware en Android con funcionalidades de spyware está siendo distribuido como un SDK de mercadeo. Este malware ha sido descubierto en distintas apps, disponibles en Google Play, y hasta ahora juntan de manera colectiva más de 400 millones de descargas.
El malware en cuestión es denominado SpinOk, y se encuentra diseñado para mantener un constante interés de los usuarios en la aplicación, a través de minijuegos, un sistema de tareas y premios diarios. SpinkOk demuestra un comportamiento aparentemente legitimo a través de estas tácticas.
El troyano SDK se conecta a un servidor de comando y control (C2) luego de inicializado, esto a través de enviar una solicitud la cual contiene información técnica sobre el dispositivo. Entre esta información se incluye todo sobre los datos de los sensores del dispositivo Android donde corre, como gyroscope, magnetometer, entre otros. Esto es llevado a cabo para confirmar que no se está corriendo en algún entrono de sandbox, los cuales son utilizados frecuentemente para el análisis de aplicaciones potencialmente maliciosas.
Posteriormente, la aplicación se conecta a un servidor remoto y procede con la descarga de una lista de URLs que luego abren en WebView, un SDK de interfase de JavaScript es agregado a estos WebViewes. Lo que garantiza a esta interfase a acceder a los métodos de las clases com.spin.ok.gp.web.BaseJsInterface y com.spin.ok.gp.code. Ejemplo de estos serian los que se presentan a continuación.
Otra de las capacidades que tiene este troyano SDK es la de expandir las propias capacidades de código JavaScrip ejecutado en paginas de carga que contengan anuncios. Entre las capacidades añadidas al código de JavaScrip, se resaltan:
- La capacidad de obtener un listado de los archivos contenidos en directorios especificados.
- La capacidad de verificar la presencia de un archivo o directorio especifico, contenido en el dispositivo.
- Obtener todos estor archivos desde el dispositivo.
- Y, copiar o sustituir el contenido del portapapeles.
Una de las capacidades antes mencionadas, posee una propiedad particularmente preocupante, y es la de filtración de datos pues esta podría exponer imágenes, vídeos, entre otros documentos privados. Abonado a esto, el código de funcionalidad de modificación del portapapeles permite a los operadores del SDK, robar contraseñas de cuentas e información de tarjetas de crédito, o bien, secuestrar pagos mediante cripto divisas redirigiéndolas a sus propias direcciones de cripto billeteras.
Según la investigación conducida por DrWeb hay mas de 101 aplicaciones que contienen el troyano SDK entre las cuales, hacen un total de descargas de 431,290,300 desde Google Play, entre las aplicaciones mas descaradas se encuentran:
- Noizz: Aplicación de edición de videos con música con al menos 100,000,000 de descargas.
- Zapya: aplicación para la transferencia de archivos, con al menos 100,000,000 de descargas. En el caso de esta aplicación se pudo observar la presencia del troyano en versiones 6.3.3 a 6.4 pero ya no se observa en la versión 6.4.2.
- VFly: creador y editor de video, con al menos 50 millones de descargas.
- MVBit: creador de estados de video MV, con al menos 50 millones de descargas.
- Biugo: creador y editor de video, con al menos 50 millones de descargas.
- Crazy Drop: con al menos 10 millones de descargas.
- Cashzine: aplicación de “gana dinero de recompensa” con al menos 10 millones de descaras.
- Fizzo Novel: aplicación de lectura fuera de línea, con al menos 10 millones de descargas.
- CashEM: aplicación de recompensas, con al menos 5 millones de descargas.
- Tick: aplicación de “ver para ganar”, con al menos 5 millones de descargas.
Indicadores de Compromiso
Nombre |
Nombre del paquete |
Nombre de la aplicación |
SHA-1 |
Android.Spy.SpinOk.2 | com.yy.biu | Noizz: video editor with music | d3ec7069d7d5b03e285b48b67752d335c813159f |
Android.Spy.SpinOk.3 | com.ai.bfly | VFly: video editor&video maker | 599a700e7c9e4a6c25c6ecc77f6db89b2d6541ee |
Android.Spy.SpinOk.2 | com.in.mvbit | MVBit – MV video status maker | 0f97969f403af7db58b39763db572370fb47449c |
Android.Spy.SpinOk.2 | com.yy.biugo.lite | Biugo-video maker&video editor | f937b24eb19290fc8e171e3e6f09afd758dcd7c0 |
Android.Spy.SpinOk.2 | com.crazy.plinko.winner.game | Crazy Drop | f640fbf76b6705b734331efff0c10b5bf8f46e5d |
Android.Spy.SpinOk.2 | com.sky.sea.cashzine | Cashzine – Earn money reward | fe8975d0af2f33af04b809eb63e02dabf31af1e3 |
Android.Spy.SpinOk.2 | e.books.reading.apps | Fizzo Novel – Reading Offline | be975d6a856b69a945540acc8d9f598745c8d144 |
Android.Spy.SpinOk.2 | com.cash.em.app | CashEM:Get Rewards | 9bd4a7105421f1b4c37d3cfceaa41124f8efd04d |
Android.Spy.SpinOk.1 | com.kuaiyin.tick | Tick:watch to earn | 7626e54e6746bc62cd97b4b173798a4bc313b30d |
Dominios |
https[:]//d3hdbjtb1686tn[.]cloudfront[.]net/gpsdk.html |
https[:]//s[.]hisp[.]in |