Un nouveau logiciel malveillant Android distribué en tant que SDK publicitaire a été découvert dans plusieurs applications, dont beaucoup étaient auparavant sur Google Play et téléchargées collectivement plus de 400 millions de fois.
Les chercheurs en sécurité de Dr. Web ont découvert le module de logiciel espion et l’ont suivi sous le nom de « SpinOk », avertissant qu’il peut voler des données privées stockées sur les appareils des utilisateurs et les envoyer à un serveur distant.
La société antivirus affirme que SpinkOk fait preuve d’un comportement apparemment légitime, en utilisant des mini-jeux qui mènent à des « récompenses quotidiennes » pour susciter l’intérêt des utilisateurs.
« En surface, le module SpinOk est conçu pour maintenir l’intérêt des utilisateurs pour les applications à l’aide de mini-jeux, d’un système de tâches et de prétendus prix et dessins de récompense », explique le rapport de Doctor Web.
En arrière-plan, cependant, le SDK de cheval de Troie vérifie les données du capteur de l’appareil Android (gyroscope, magnétomètre) pour confirmer qu’il ne fonctionne pas dans un environnement en bac à sable, couramment utilisé par les chercheurs lors de l’analyse d’applications Android potentiellement malveillantes.
L’application se connecte ensuite à un serveur distant pour télécharger une liste d’URL ouvertes utilisées pour afficher les mini-jeux attendus.
Alors que les mini-jeux sont affichés aux utilisateurs des applications comme prévu, le Dr Web dit qu’en arrière-plan, le SDK est capable de fonctionnalités malveillantes supplémentaires, y compris la liste des fichiers dans des répertoires, la recherche de fichiers particuliers, le téléchargement de fichiers depuis l’appareil ou la copie. et remplacer le contenu du presse-papiers.
La fonctionnalité d’exfiltration de fichiers est particulièrement préoccupante car elle pourrait exposer des images, des vidéos et des documents privés.
De plus, le code de fonctionnalité de modification du presse-papiers permet aux opérateurs du SDK de voler les mots de passe de compte et les données de carte de crédit, ou de détourner les paiements en crypto-monnaie vers leurs propres adresses de portefeuille crypto.
Dr. Web affirme que ce SDK a été trouvé dans 101 applications qui ont été téléchargées pour un total cumulé de 421 290 300 fois depuis Google Play, les plus téléchargées étant répertoriées ci-dessous :
- Noizz : éditeur vidéo avec musique (100 000 000 téléchargements)
- Zapya – Transfert de fichiers, partage (100 000 000 téléchargements ; Dr. Web indique que le module cheval de Troie était présent dans la version 6.3.3 à la version 6.4 et n’est plus présent dans la version actuelle 6.4.1)
- VFly : éditeur vidéo et créateur de vidéos (50 000 000 téléchargements)
- MVBit – Créateur de statut vidéo MV (50 000 000 téléchargements)
- Biugo – vidéaste et éditeur vidéo (50 000 000 téléchargements)
- Crazy Drop (10 000 000 téléchargements)
- Cashzine – Gagnez de l’argent en récompense (10 000 000 téléchargements)
- Fizzo Novel – Lecture hors ligne (10 000 000 téléchargements)
- CashEM : obtenez des récompenses (5 000 000 téléchargements)
- Cochez : regardez pour gagner (5 000 000 téléchargements)
Toutes les applications ci-dessus sauf une ont été supprimées de Google Play, ce qui indique que Google a reçu des rapports sur le SDK malveillant et a supprimé les applications incriminées jusqu’à ce que les développeurs soumettent une version propre.
Une liste complète des applications qui auraient utilisé le SDK peut être trouvée sur le site de Dr. Web.
On ne sait pas si les éditeurs des applications trojanisées ont été trompés par le distributeur du SDK ou l’ont sciemment inclus dans leur code, mais ces infections résultent généralement d’une attaque de la chaîne d’approvisionnement par un tiers.
Si vous utilisez l’une des applications répertoriées ci-dessus, vous devez mettre à jour la dernière version disponible via Google Play, qui doit être propre.
Si l’application n’est pas disponible sur la boutique d’applications officielle d’Android, il est recommandé de la désinstaller immédiatement et d’analyser votre appareil avec un outil antivirus mobile pour vous assurer que tous les restes de logiciels espions sont supprimés.
Breachtrace a contacté Google pour une déclaration sur cette base d’infection massive, mais aucun commentaire n’était disponible au moment de la publication.