Android

広告 SDK として配布された新しい Android マルウェアが複数のアプリで発見され、その多くは以前 Google Play でダウンロードされ、合計で 4 億回以上ダウンロードされました。

Dr. Web のセキュリティ研究者はこのスパイウェア モジュールを発見し、「SpinOk」として追跡し、ユーザーのデバイスに保存されている個人データを盗んでリモート サーバーに送信する可能性があると警告しました。

ウイルス対策会社によると、SpinkOk は一見正当な動作を示しており、「毎日の報酬」につながるミニゲームを使用してユーザーの興味を刺激しているという。

「表面的には、SpinOk モジュールは、ミニゲーム、タスク システム、賞品や賞品の抽選などを利用して、アプリに対するユーザーの関心を維持するように設計されています」 と Doctor Web のレポートは説明しています。

ただし、トロイの木馬 SDK はバックグラウンドで Android デバイスのセンサー データ (ジャイロスコープ、磁力計) をチェックして、悪意のある可能性のある Android アプリを分析するときに研究者がよく使用するサンドボックス環境で実行されていないことを確認します。

次に、アプリはリモート サーバーに接続し、予想されるミニゲームを表示するために開かれた URL のリストをダウンロードします。

SDKで表示されるミニゲーム
SDKで表示されるミニゲーム
出典: Dr.Web

ミニゲームはアプリのユーザーには予想どおり表示されるが、SDK はバックグラウンドで、ディレクトリ内のファイルの一覧表示、特定のファイルの検索、デバイスからのファイルのアップロード、コピーなどの追加の悪意のある機能を実行できると Dr. Web 氏は述べています。そしてクリップボードの内容を置き換えます。

ファイルの引き出し機能は、プライベートな画像、ビデオ、ドキュメントが公開される可能性があるため、特に懸念されます。

さらに、クリップボード変更機能コードを使用すると、SDK のオペレーターはアカウントのパスワードやクレジット カード データを盗んだり、自分の暗号ウォレット アドレスへの暗号通貨の支払いをハイジャックしたりすることができます。

Dr. Web によると、この SDK は Google Play から累計 4 億 2,129 万 300 回ダウンロードされた 101 個のアプリで発見されており、最もダウンロードされたアプリは以下のとおりです。

  • Noizz: 音楽付きビデオエディター (1 億ダウンロード)
  • Zapya – ファイル転送、共有 (ダウンロード数 100,000,000。Dr. Web によれば、このトロイの木馬モジュールはバージョン 6.3.3 からバージョン 6.4 まで存在し、現在のバージョン 6.4.1 には存在しなくなっている)
  • VFly: ビデオエディター&ビデオメーカー (50,000,000 ダウンロード)
  • MVBit – MV ビデオ ステータス メーカー (50,000,000 ダウンロード)
  • Biugo – ビデオメーカー&ビデオエディター (50,000,000 ダウンロード)
  • クレイジー ドロップ (10,000,000 ダウンロード)
  • Cashzine – 賞金を獲得 (10,000,000 ダウンロード)
  • Fizzo Novel – オフラインで読む (10,000,000 ダウンロード)
  • CashEM: 報酬を獲得 (5,000,000 ダウンロード)
  • チェックマーク: 視聴して獲得 (5,000,000 ダウンロード)

上記のアプリのうち 1 つを除いてすべてが Google Play から削除されました。これは、Google が悪意のある SDK に関する報告を受け、開発者がクリーン バージョンを提出するまで問題のアプリを削除したことを示しています。

SDK を使用していると報告されているアプリの完全なリストは、 Dr. Web のサイトでご覧いただけます。

トロイの木馬化されたアプリの発行者が SDK のディストリビュータにだまされたのか、それとも意図的にコードにトロイの木馬が組み込まれたのかは不明ですが、これらの感染は通常、サードパーティからのサプライチェーン攻撃によって引き起こされます。

上記のアプリのいずれかを使用している場合は、Google Play から入手できるクリーンな最新バージョンに更新する必要があります。

アプリが Android の公式アプリ ストアで入手できない場合は、すぐにアンインストールし、モバイルウイルス対策ツールでデバイスをスキャンして、スパイウェアの残留物がすべて削除されていることを確認することをお勧めします。

はこの大規模な感染基盤についての声明をGoogleに求めたが、公開時点までにコメントは得られなかった。