Spyware a través de Google Play instalado más de 421 millones de veces

Un nuevo malware en Android con funcionalidades de spyware está siendo distribuido como un SDK de mercadeo. Este malware ha sido descubierto en distintas apps, disponibles en Google Play, y hasta ahora juntan de manera colectiva más de 400 millones de descargas.

El malware en cuestión es denominado SpinOk, y se encuentra diseñado para mantener un constante interés de los usuarios en la aplicación, a través de minijuegos, un sistema de tareas y premios diarios. SpinkOk demuestra un comportamiento aparentemente legitimo a través de estas tácticas.

El troyano SDK se conecta a un servidor de comando y control (C2) luego de inicializado, esto a través de enviar una solicitud la cual contiene información técnica sobre el dispositivo. Entre esta información se incluye todo sobre los datos de los sensores del dispositivo Android donde corre, como gyroscope, magnetometer, entre otros. Esto es llevado a cabo para confirmar que no se está corriendo en algún entrono de sandbox, los cuales son utilizados frecuentemente para el análisis de aplicaciones potencialmente maliciosas.

Posteriormente, la aplicación se conecta a un servidor remoto y procede con la descarga de una lista de URLs que luego abren en WebView, un SDK de interfase de JavaScript es agregado a estos WebViewes. Lo que garantiza a esta interfase a acceder a los métodos de las clases com.spin.ok.gp.web.BaseJsInterface y com.spin.ok.gp.code. Ejemplo de estos serian los que se presentan a continuación.

Otra de las capacidades que tiene este troyano SDK es la de expandir las propias capacidades de código JavaScrip ejecutado en paginas de carga que contengan anuncios. Entre las capacidades añadidas al código de JavaScrip, se resaltan:

  • La capacidad de obtener un listado de los archivos contenidos en directorios especificados.
  • La capacidad de verificar la presencia de un archivo o directorio especifico, contenido en el dispositivo.
  • Obtener todos estor archivos desde el dispositivo.
  • Y, copiar o sustituir el contenido del portapapeles.

Una de las capacidades antes mencionadas, posee una propiedad particularmente preocupante, y es la de filtración de datos pues esta podría exponer imágenes, vídeos, entre otros documentos privados. Abonado a esto, el código de funcionalidad de modificación del portapapeles permite a los operadores del SDK, robar contraseñas de cuentas e información de tarjetas de crédito, o bien, secuestrar pagos mediante cripto divisas redirigiéndolas a sus propias direcciones de cripto billeteras.

Según la investigación conducida por DrWeb hay mas de 101 aplicaciones que contienen el troyano SDK entre las cuales, hacen un total de descargas de 431,290,300 desde Google Play, entre las aplicaciones mas descaradas se encuentran:

  • Noizz: Aplicación de edición de videos con música con al menos 100,000,000 de descargas.
  • Zapya: aplicación para la transferencia de archivos, con al menos 100,000,000 de descargas. En el caso de esta aplicación se pudo observar la presencia del troyano en versiones 6.3.3 a 6.4 pero ya no se observa en la versión 6.4.2.
  • VFly: creador y editor de video, con al menos 50 millones de descargas.
  • MVBit: creador de estados de video MV, con al menos 50 millones de descargas.
  • Biugo: creador y editor de video, con al menos 50 millones de descargas.
  • Crazy Drop: con al menos 10 millones de descargas.
  • Cashzine: aplicación de “gana dinero de recompensa” con al menos 10 millones de descaras.
  • Fizzo Novel: aplicación de lectura fuera de línea, con al menos 10 millones de descargas.
  • CashEM: aplicación de recompensas, con al menos 5 millones de descargas.
  • Tick: aplicación de “ver para ganar”, con al menos 5 millones de descargas.

Indicadores de Compromiso

Nombre

Nombre del paquete

Nombre de la aplicación

SHA-1

Android.Spy.SpinOk.2 com.yy.biu Noizz: video editor with music d3ec7069d7d5b03e285b48b67752d335c813159f
Android.Spy.SpinOk.3 com.ai.bfly VFly: video editor&video maker 599a700e7c9e4a6c25c6ecc77f6db89b2d6541ee
Android.Spy.SpinOk.2 com.in.mvbit MVBit – MV video status maker 0f97969f403af7db58b39763db572370fb47449c
Android.Spy.SpinOk.2 com.yy.biugo.lite Biugo-video maker&video editor f937b24eb19290fc8e171e3e6f09afd758dcd7c0
Android.Spy.SpinOk.2 com.crazy.plinko.winner.game Crazy Drop f640fbf76b6705b734331efff0c10b5bf8f46e5d
Android.Spy.SpinOk.2 com.sky.sea.cashzine Cashzine – Earn money reward fe8975d0af2f33af04b809eb63e02dabf31af1e3
Android.Spy.SpinOk.2 e.books.reading.apps Fizzo Novel – Reading Offline be975d6a856b69a945540acc8d9f598745c8d144
Android.Spy.SpinOk.2 com.cash.em.app CashEM:Get Rewards 9bd4a7105421f1b4c37d3cfceaa41124f8efd04d
Android.Spy.SpinOk.1 com.kuaiyin.tick Tick:watch to earn 7626e54e6746bc62cd97b4b173798a4bc313b30d

Dominios

https[:]//d3hdbjtb1686tn[.]cloudfront[.]net/gpsdk.html
https[:]//s[.]hisp[.]in
Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.