Descuentos para licencias múltiples
Threat Database Mobile Malware Malware móvil SpinOk

Malware móvil SpinOk

Por Mezo en Mobile Malware, Spyware, Trojans
Traducir a:
Español

Investigadores de ciberseguridad han descubierto un módulo de software amenazante dirigido a dispositivos Android equipados con capacidades de spyware. Este módulo se rastrea como SpinOk y funciona mediante la recopilación de datos confidenciales relacionados con los archivos almacenados en los dispositivos afectados y posee la capacidad de transmitir esta información a entidades malintencionadas. Además, puede reemplazar y cargar contenidos copiados en el portapapeles del dispositivo, reenviándolos a un servidor remoto controlado por los atacantes.

El malware SpinOk se ha disfrazado como un kit de desarrollo de software (SDK) de marketing. Como tal, los desarrolladores pueden incorporarlo en varias aplicaciones y juegos, incluidos aquellos fácilmente accesibles en Google Play Store. Este método de distribución permite que el módulo infectado con spyware se infiltre potencialmente en una amplia gama de software de Android, lo que representa una amenaza significativa para la privacidad y la seguridad del usuario. De hecho, según los expertos en seguridad de la información, las aplicaciones de Android infectadas con SpinOk se han descargado e instalado más de 421 millones de veces.

El malware SpinOk se encontró inyectado en numerosas aplicaciones en Google Play Store

El módulo troyano SpinOk, junto con varias variaciones del mismo, se ha identificado en numerosas aplicaciones distribuidas a través de Google Play Store. Si bien algunas de estas aplicaciones aún contienen el kit de desarrollo de software (SDK) comprometido, otras lo tenían presente en versiones específicas o se eliminaron por completo de la tienda. Sin embargo, se ha descubierto que este malware móvil ha estado presente en un total de 101 aplicaciones diferentes, que en conjunto han acumulado más de 421 000 000 de descargas. Como resultado, un número considerable de propietarios de dispositivos Android, que suman cientos de millones, corren el riesgo potencial de ser víctimas del espionaje cibernético.

Entre las aplicaciones que llevan el spyware SpinOk con más descargas se encuentran:

    • Un editor de video Noizz con un mínimo de 100 millones de instalaciones.
    • Una aplicación para compartir y transferir archivos, Zapya, con otras 100 millones de instalaciones.
    • VFly (editor y creador de video), MVBit (creador de estado de video de MV) y Biudo (editor y creador de video), cada uno con un mínimo de 50 millones de instalaciones.

Cabe señalar que SpinOk Malware estuvo presente en varias versiones de Zapya pero fue eliminado con la versión 6.4.1 de la aplicación.

La presencia de este módulo troyano dentro de estas aplicaciones ampliamente utilizadas representa una amenaza importante para la privacidad y la seguridad de los usuarios. Se requiere una acción inmediata para mitigar los riesgos potenciales asociados con estas aplicaciones comprometidas.

El malware móvil SpinOk recopila una amplia gama de datos confidenciales bajo la apariencia de funcionalidades útiles

El módulo SpinOk se presenta como una herramienta atractiva dentro de las aplicaciones, que ofrece a los usuarios minijuegos, sistemas de tareas y el atractivo de los premios y recompensas. Sin embargo, tras la activación, este kit de desarrollo de software (SDK) troyano establece una conexión con un servidor de comando y control (C&C) y transmite un conjunto completo de detalles técnicos sobre el dispositivo infectado. Estos detalles incluyen datos de sensores de componentes como el giroscopio y el magnetómetro, que se pueden utilizar para identificar entornos de emulación y ajustar el comportamiento del módulo para evadir la detección por parte de los investigadores de seguridad. Para ofuscar aún más sus actividades durante el análisis, el módulo troyano ignora la configuración del proxy del dispositivo, lo que le permite ocultar las conexiones de red.

A través de su comunicación con el servidor C&C, el módulo recibe una lista de URL, que luego carga en WebView para mostrar banners publicitarios. Simultáneamente, este troyano SDK mejora las capacidades de un código JavaScript corrupto ejecutado dentro de estas páginas web cargadas, introduciendo una gama de funcionalidades en el proceso. Estos incluyen la capacidad de acceder y enumerar archivos en directorios específicos, verificar la existencia de archivos o directorios específicos en el dispositivo, recuperar archivos del dispositivo y manipular el contenido del portapapeles.

Estas capacidades adicionales brindan a los operadores del módulo troyano los medios para adquirir información y archivos confidenciales del dispositivo del usuario. Por ejemplo, las aplicaciones que incorporan el troyano SpinOk pueden aprovecharse para manipular los archivos a los que tienen acceso. Los atacantes logran esto insertando el código necesario en las páginas HTML de los banners publicitarios, lo que les permite extraer datos y archivos confidenciales de usuarios involuntarios.

 

Tendencias

Mas Visto

Cargando...