Malware Android SpinOk trovato in più app con 30 milioni di installazioni
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 8 Giugno 2023
Tags: #malware, #android, #SpinOk
Tags: #malware, #android, #SpinOk
Malware Android SpinOk trovato in più app con 30 milioni di installazioni
Il malware SpinOk è stato trovato in un nuovo gruppo di app Android su Google Play, secondo quanto riferito installato altri 30 milioni di volte.
La scoperta arriva dal team di sicurezza di CloudSEK, che riferisce di aver trovato una serie di 193 app che trasportano l'SDK dannoso, 43 delle quali erano attive su Google Play al momento della loro scoperta la scorsa settimana.
SpinOk su Google Play
SpinOk è stato scoperto per la prima volta da Dr. Web alla fine del mese scorso in un insieme di un centinaio di app che sono state scaricate collettivamente oltre 421 milioni di volte.
Come ha spiegato la società di sicurezza mobile nel suo rapporto,
SpinOk è stato distribuito tramite un attacco alla catena di fornitura dell'SDK che ha infettato molte app e, per estensione, ha violato molti utenti Android.
In superficie, l'SDK offriva minigiochi con ricompense giornaliere legittimamente utilizzate dagli sviluppatori per stuzzicare l'interesse dei propri utenti. Tuttavia, in background, il trojan potrebbe essere utilizzato per rubare file e sostituire il contenuto degli appunti.
CloudSEK ha utilizzato gli IoC forniti nel rapporto di Dr. Web per scoprire più infezioni SpinOk, estendendo l'elenco di app dannose a 193 dopo aver scoperto altre 92 app. Circa la metà di questi erano disponibili su Google Play.
Il più scaricato del nuovo batch è stato HexaPop Link 2248, che ha avuto 5 milioni di installazioni. Tuttavia, è stato rimosso da Google Play da quando CloudSEK ha compilato il suo rapporto.
Altre app popolari che utilizzano SpinOk SDK e che rimangono disponibili per il download tramite Google Play sono:
Macaron Match (XM Studio) – 1 milione di download
Macaron Boom (XM Studio) – 1 milione di download
Jelly Connect (Bling Game) – 1 milione di download
Tiler Master (Tecnologia Zhinuo) – 1 milione di download
Crazy Magic Ball (XM Studio) – 1 milione di download
Happy 2048 (Tecnologia Zhinuo) – 1 milione di download
Mega Win Slot (Jia22) – 500.000 download
CloudSEK segnala che il conteggio collettivo dei download per le app aggiuntive basate su SpinOK supera i 30.000.000.
Va notato che gli sviluppatori di queste app hanno probabilmente utilizzato l'SDK dannoso pensando che fosse una libreria pubblicitaria, ignari del fatto che includesse funzionalità dannose.
L'elenco completo delle applicazioni infette è disponibile nell'appendice del report di CloudSEK.
Questa è una testimonianza della complessità della mappatura completa degli attacchi alla catena di approvvigionamento nelle grandi piattaforme di distribuzione software come il Google Play Store, dove individuare ogni progetto che potrebbe utilizzare un particolare modulo è impegnativo e porta a gravi ritardi nel processo di correzione del rischio.
CloudSEK ha informato Google delle nuove app dannose scoperte venerdì 2 giugno 2023 e BleepingComputer ha contattato il team di Android a riguardo.
Google non ha ancora risposto e molte delle app elencate nel rapporto di CloudSEK sono ancora disponibili su Google Play al momento della scrittura.
Aggiornamento del 6/6 -
Un portavoce di Google ci ha inviato il seguente commento:
La sicurezza di utenti e sviluppatori è al centro di Google Play.
Abbiamo esaminato i rapporti recenti su SpinOK SDK e stiamo intraprendendo le azioni appropriate sulle app che violano le nostre norme.
Gli utenti sono inoltre protetti da Google Play Protect, che avvisa gli utenti delle app note per mostrare comportamenti dannosi sui dispositivi Android con Google Play Services, anche quando tali app provengono da altre fonti.