Android malware

SpinOk マルウェアは、Google Play 上の Android アプリの新しいバッチで発見され、さらに 3,000 万回インストールされたと報告されています。

この発見はCloudSEKのセキュリティチームによるもので、同チームは悪意のあるSDKを搭載した一連の193個のアプリを発見したと報告しており、先週の発見時点ではそのうち43個がGoogle Playでアクティブだったという。

Google Play の SpinOk

SpinOk は先月下旬、合計 4 億 2,100 万回以上ダウンロードされた 100 個のアプリのセットの中でDr. Web によって初めて発見されました。

モバイル セキュリティ会社がレポートで説明したように、SpinOk は SDK サプライ チェーン攻撃を通じて配布され、多くのアプリに感染し、ひいては多くの Android ユーザーに侵入しました。

表面的には、SDK は、ユーザーの興味を引くために開発者が合法的に使用する毎日の報酬を伴うミニゲームを提供していました。ただし、このトロイの木馬はバックグラウンドでファイルを盗んだり、クリップボードの内容を置き換えたりするために使用される可能性があります。

CloudSEK は、Dr. Web のレポートで提供された IoC を使用して、SpinOk 感染をさらに発見し、さらに 92 個のアプリを発見した後、不正アプリのリストを 193 個に拡大しました。そのうちの約半分は Google Play で入手できました。

新しいバッチで最もダウンロードされたのは HexaPop Link 2248 で、500 万回インストールされました。ただし、このトロイの木馬はバックグラウンドでファイルを盗み、クリップボードの内容を置き換えるために使用されます。

SpinOk SDK を使用し、今後も Google Play 経由でダウンロードできるその他の人気アプリは次のとおりです。

  • マカロン マッチ (XM Studio) – 100 万ダウンロード
  • マカロンブーム (XM Studio) – 100 万ダウンロード
  • Jelly Connect (Bling Game) – 100 万ダウンロード
  • Tiler Master (Zhinuo Technology) – 100 万ダウンロード
  • Crazy Magic Ball (XM Studio) – 100 万ダウンロード
  • Happy 2048 (Zhinuo Technology) – 100 万ダウンロード
  • Mega Win Slots (Jia22) – 500,000 ダウンロード

CloudSEK は、追加の SpinOK 搭載アプリの合計ダウンロード数が 30,000,000 を超えたと報告しています。

これらのアプリの開発者は、悪意のある機能が含まれていることを知らずに、悪意のある SDK を広告ライブラリだと思って使用した可能性があることに注意してください。

感染したアプリケーションの完全なリストは、 CloudSEK のレポートの付録セクションにあります。

これは、Google Play ストアなどの大規模なソフトウェア配布プラットフォームでサプライ チェーン攻撃を完全にマッピングすることが複雑であることの証拠です。特定のモジュールを使用している可能性のあるすべてのプロジェクトを特定することは困難であり、リスク修復プロセスの大幅な遅延につながります。

CloudSEK は、2023 年 6 月 2 日金曜日に発見した新たな悪意のあるアプリについて Google に通知し、Android チームに連絡しました。

Googleはまだ回答を出しておらず、CloudSEKのレポートに記載されているアプリの多くは本稿執筆時点でもまだGoogle Playで入手可能である。