
Le malware SpinOk a été trouvé dans un nouveau lot d’applications Android sur Google Play, qui aurait été installé 30 millions de fois supplémentaires.
La découverte provient de l’équipe de sécurité de CloudSEK, qui rapporte avoir trouvé un ensemble de 193 applications contenant le SDK malveillant, dont 43 étaient actives sur Google Play au moment de leur découverte la semaine dernière.
SpinOk sur Google Play
SpinOk a été découvert pour la première fois par Dr. Web à la fin du mois dernier dans un ensemble d’une centaine d’applications qui avaient été téléchargées collectivement plus de 421 millions de fois.
Comme l’explique la société de sécurité mobile dans son rapport, SpinOk a été distribué via une attaque de chaîne d’approvisionnement SDK qui a infecté de nombreuses applications et, par extension, a violé de nombreux utilisateurs d’Android.
En surface, le SDK servait des mini-jeux avec des récompenses quotidiennes légitimement utilisées par les développeurs pour piquer l’intérêt de leurs utilisateurs. Cependant, en arrière-plan, le cheval de Troie pourrait être utilisé pour voler des fichiers et remplacer le contenu du presse-papiers.
CloudSEK a utilisé les IoC fournis dans le rapport de Dr. Web pour découvrir davantage d’infections SpinOk, étendant la liste des mauvaises applications à 193 après avoir découvert 92 applications supplémentaires. Environ la moitié d’entre eux étaient disponibles sur Google Play.
Le plus téléchargé du nouveau lot était HexaPop Link 2248, qui comptait 5 millions d’installations. Cependant, il a été supprimé de Google Play depuis que CloudSEK a compilé son rapport.
Les autres applications populaires utilisant le SDK SpinOk et qui restent disponibles au téléchargement via Google Play sont :
- Macaron Match (XM Studio) – 1 million de téléchargements
- Macaron Boom (XM Studio) – 1 million de téléchargements
- Jelly Connect (Bling Game) – 1 million de téléchargements
- Tiler Master (Technologie Zhinuo) – 1 million de téléchargements
- Crazy Magic Ball (XM Studio) – 1 million de téléchargements
- Happy 2048 (Technologie Zhinuo) – 1 million de téléchargements
- Machines à sous Mega Win (Jia22) – 500 000 téléchargements
CloudSEK rapporte que le nombre de téléchargements collectifs pour les applications supplémentaires équipées de SpinOK atteint plus de 30 000 000.
Il convient de noter que les développeurs de ces applications ont probablement utilisé le SDK malveillant en pensant qu’il s’agissait d’une bibliothèque publicitaire, sans savoir qu’il incluait des fonctionnalités malveillantes.
La liste complète des applications infectées se trouve dans la section annexe du rapport de CloudSEK.
Cela témoigne de la complexité de la cartographie complète des attaques de la chaîne d’approvisionnement dans les grandes plates-formes de distribution de logiciels telles que Google Play Store, où la localisation de chaque projet susceptible d’utiliser un module particulier est difficile et entraîne de graves retards dans le processus de résolution des risques.
CloudSEK a informé Google des nouvelles applications malveillantes qu’il a découvertes le vendredi 2 juin 2023, et Breachtrace a contacté l’équipe Android à ce sujet.
Google n’a pas encore répondu, et de nombreuses applications répertoriées dans le rapport de CloudSEK sont toujours disponibles sur Google Play au moment de la rédaction.