Doctor Web, Android işletim sistemi için casusluk işlevlerine sahip kötü amaçlı bir yazılım modülü tespit etti — cihazlarda depolanan dosyalar hakkında bilgi toplayabilir, bunları saldırganlara aktarabilir ve ayrıca pano içeriğini değiştirip uzak bir sunucuya yükleyebilir.
Dr.Web sınıflandırmasına göre, Android.Spy.SpinOk olarak adlandırıldı. Modül, bir pazarlama SDK’sı kisvesi altında dağıtılır, resmi Google Play mağazasında bulunanlar da dahil olmak üzere çeşitli Android oyunlarına ve uygulamalarına yerleştirilmiştir.
SpinOk modülü, kullanıcıları mini oyunlar, bir görev sistemi ve görünüşte ödül çekilişleri yardımıyla uygulamalarda tutmak için tasarlanmıştır. şirket dedi ki:
Başlatma sırasında, bu Truva Atı SDK’sı, C&C sunucusuna bağlanarak, virüslü cihaz hakkında birçok teknik veri içeren bir istek gönderir. Bunlar arasında, bir öykünücü ortamında çalışmayı tanımak ve kötü amaçlı bir uygulamanın çalışmasını düzeltmek için kullanılabilecek jiroskop, manyetometre vb. Aynı amaçla, cihaz proxy ayarları da dikkate alınmaz, bu da analiz sırasında ağ bağlantılarının gizlenmesini mümkün kılar. Yanıt olarak modül, kontrol sunucusundan reklam afişlerini görüntülemek için WebView’a yüklediği bir bağlantı listesi alır.
Uzmanlar, bu Trojan modülünü ve birkaç değişikliğini Google Play kataloğu aracılığıyla dağıtılan bir dizi uygulamada buldu. Bazıları hala kötü niyetli SDK’yı içeriyor, diğerlerinin yalnızca belirli sürümleri vardı ve diğerleri zaten kaldırıldı.
Toplamda, SpinOk 101 programda bulundu. Bu programlar toplamda en az 421.290.300 kez indirilmiştir. Şirket, “yüz milyonlarca Android cihaz sahibinin siber casusluğun kurbanı olma riski altında olduğunu” belirtiyor. Doctor Web, tespit edilen tehdidi Google’a bildirdi.