Een nieuwe vorm van spyware is ontdekt in een Android SDK. De software development kit (SDK) is gebruikt in ongeveer 101 applicaties, met naar schatting 421 miljoen downloads. Deze verraderlijke spyware, bekend als “SpinOk”, is onthuld door onderzoekers van Doctor Web en verleidt gebruikers met minigames en aantrekkelijke beloningen.
Eenmaal geactiveerd maakt het echter verbinding met een command-and-control server, die gedetailleerde technische informatie over het gecompromitteerde apparaat doorgeeft. SpinOk doet zijn uiterste best om detectie te omzeilen. Dit doet het onder andere door de mogelijkheid om emulatoromgevingen te detecteren en proxy-instellingen te negeren.
Deze schadelijke module serveert advertenties en manipuleert JavaScript-code op geladen webpagina’s. Eerst wordt een lijst met bestanden samengesteld. Kort daarna zoekt het naar de aanwezigheid van specifieke bestanden of mappen en kan het zelfs de inhoud van het klembord wissen of vervangen.
Een belangrijke bedreiging voor de privacy van gebruikers
Onder de geïnfecteerde apps bevinden zich populaire zoals Noizz. Dit is een muziekvideo-editor met maar liefst 100 miljoen downloads. Daarnaast is er Zapya, een app voor bestandsoverdracht met maar liefst 100 miljoen downloads. Andere getroffen apps zijn videotools als VFly, MVBit en Biugo, die elk minstens 50 miljoen keer zijn gedownload. Talrijke andere apps, met 5 tot 10 miljoen downloads, zijn ook het slachtoffer geworden van de infiltratie door SpinOk.
CEO van IoT-beveiligingsbedrijf Viakoo, Bud Broomhead, merkte op dat de dreigingsactoren achter SpinOk zich hebben gericht op Android-games die spelers winst opleveren. Broomhead suggereert dat ze een specifiek motief hebben. Mogelijke doelen zijn onder meer het controleren van geldovermakingen naar bankrekeningen of het exploiteren van specifieke bestanden op de apparaten van spelers.
De cijfers weerspiegelen mogelijk niet de werkelijkheid
Broomhead zegt dat gezien de ongeveer 2 miljard Android-toestellen wereldwijd ruwweg één op de vijf toestellen kan zijn getroffen. Hierbij gaat hij ervan uit dat SpinOk 421 miljoen keer is geïnstalleerd. Zelfs als geschat wordt dat 25% van de gedownloade apps nooit meer wordt gebruikt, zou er nog steeds een aanzienlijk aantal “actieve” SpinOk-downloads zijn, namelijk ongeveer 316 miljoen.
Kwaadwillenden zijn sluw en zorgen ervoor dat code voor verdachte activiteiten alleen wordt gedownload wanneer op het apparaat aan specifieke voorwaarden wordt voldaan, zodat detectie wordt ontweken. Hierdoor lijkt de SDK goedaardig tijdens een vluchtige scan van de broncode, waardoor gebruikers moeten oppassen.
Lees ook: EU-parlement wil gebruik van spyware aan banden leggen
10 uur geleden
