Remises multi-licences
Threat Database Mobile Malware Logiciel malveillant SpinOk Mobile

Logiciel malveillant SpinOk Mobile

Par Mezo en Mobile Malware, Spyware, Trojans
Se traduisent par :
Français

Des chercheurs en cybersécurité ont découvert un module logiciel menaçant ciblant les appareils Android équipés de fonctionnalités de logiciels espions. Ce module est suivi en tant que SpinOk et fonctionne en rassemblant des données sensibles relatives aux fichiers stockés sur les appareils concernés et possède la capacité de transmettre ces informations à des entités malveillantes. De plus, il peut remplacer et télécharger le contenu copié dans le presse-papiers de l'appareil, en le transmettant à un serveur distant contrôlé par les attaquants.

Le logiciel malveillant SpinOk a été déguisé en kit de développement logiciel (SDK) marketing. En tant que tel, il peut être intégré par les développeurs dans diverses applications et jeux, y compris ceux facilement accessibles sur le Google Play Store. Cette méthode de distribution permet au module infecté par un logiciel espion d'infiltrer potentiellement une large gamme de logiciels Android, ce qui constitue une menace importante pour la confidentialité et la sécurité des utilisateurs. En effet, selon les experts de l'infosec, les applications Android infectées par SpinOk ont été téléchargées et installées plus de 421 millions de fois.

Le logiciel malveillant SpinOk a été trouvé injecté dans de nombreuses applications sur le Google Play Store

Le module cheval de Troie SpinOk, ainsi que plusieurs variantes de celui-ci, a été identifié dans de nombreuses applications distribuées via le Google Play Store. Alors que certaines de ces applications contiennent toujours le kit de développement logiciel (SDK) compromis, d'autres l'avaient présent dans des versions spécifiques ou ont été entièrement supprimés du magasin. Cependant, il a été découvert que ce logiciel malveillant mobile était présent dans un total de 101 applications différentes, qui ont collectivement accumulé plus de 421 000 000 de téléchargements. En conséquence, un nombre important de propriétaires d'appareils Android, s'élevant à des centaines de millions, risquent potentiellement d'être victimes de cyberespionnage.

Parmi les applications trouvées pour transporter le logiciel espion SpinOk avec le plus de téléchargements figurent :

    • Un éditeur vidéo Noizz avec un minimum de 100 millions d'installations.
    • Une application de transfert et de partage de fichiers, Zapya, avec 100 millions d'installations supplémentaires.
    • VFly (éditeur et créateur de vidéo), MVBit (créateur de statut vidéo MV) et Biudo (éditeur et créateur de vidéo) avec chacun un minimum de 50 millions d'installations.

Il faut préciser que le SpinOk Malware était présent dans plusieurs versions de Zapya mais a été supprimé avec la version 6.4.1 de l'application.

La présence de ce module cheval de Troie dans ces applications largement utilisées constitue une menace importante pour la confidentialité et la sécurité des utilisateurs. Une action immédiate est requise pour atténuer les risques potentiels associés à ces applications compromises.

Le logiciel malveillant SpinOk Mobile collecte un large éventail de données sensibles sous le couvert de fonctionnalités utiles

Le module SpinOk se présente comme un outil attrayant dans les applications, offrant aux utilisateurs des mini-jeux, des systèmes de tâches et l'attrait des prix et des récompenses. Cependant, lors de l'activation, ce kit de développement logiciel (SDK) de cheval de Troie établit une connexion avec un serveur de commande et de contrôle (C&C) et transmet un ensemble complet de détails techniques sur l'appareil infecté. Ces détails incluent des données de capteur provenant de composants tels que le gyroscope et le magnétomètre, qui peuvent être utilisés pour identifier les environnements d'émulation et ajuster le comportement du module pour échapper à la détection par les chercheurs en sécurité. Pour obscurcir davantage ses activités lors de l'analyse, le module cheval de Troie ne tient pas compte des paramètres de proxy de l'appareil, ce qui lui permet de dissimuler les connexions réseau.

Par sa communication avec le serveur C&C, le module reçoit une liste d'URL qu'il charge ensuite dans WebView pour afficher des bannières publicitaires. Simultanément, ce SDK de cheval de Troie améliore les capacités d'un code JavaScript corrompu exécuté dans ces pages Web chargées, introduisant une gamme de fonctionnalités dans le processus. Celles-ci incluent la possibilité d'accéder et d'énumérer des fichiers dans des répertoires spécifiés, de vérifier l'existence de fichiers ou de répertoires spécifiques sur l'appareil, de récupérer des fichiers à partir de l'appareil et de manipuler le contenu du presse-papiers.

Ces fonctionnalités supplémentaires fournissent aux opérateurs du module cheval de Troie les moyens d'acquérir des informations et des fichiers confidentiels à partir de l'appareil de l'utilisateur. Par exemple, les applications incorporant le cheval de Troie SpinOk peuvent être exploitées pour manipuler les fichiers qui leur sont accessibles. Les attaquants y parviennent en insérant le code nécessaire dans les pages HTML des bannières publicitaires, leur permettant d'extraire des données et des fichiers sensibles d'utilisateurs involontaires.

 

Tendance

Le plus regardé

Chargement...