Компания «Доктор Веб» сообщила о выявлении вредоносного программного модуля для ОС Android, который обладает шпионскими функциями. Модуль, получивший название Android.Spy.SpinOk, может собирать информацию о файлах, хранящихся на устройствах, передавать их злоумышленникам и подменять содержимое буфера обмена на удаленный сервер. Он распространяется под видом маркетингового SDK и встраивается в различные игры и приложения для Android, доступные в официальном магазине Google Play.
Модуль SpinOk предназначен для удержания пользователей в приложениях с помощью мини-игр, системы заданий и якобы розыгрышей призов. При инициализации этот троянское SDK соединяется с C&C-сервером, отправляя на него запрос с множеством технических данных о зараженном устройстве. Среди них — данные сенсоров, которые могут использоваться для распознавания работы в среде эмуляторов и корректировки работы вредоносного приложения во избежание обнаружения его активности исследователями. С этой же целью игнорируются и настройки прокси устройства, что позволяет скрыть сетевые подключения при анализе.
Специалисты «Доктор Веб» обнаружили этот троянский модуль и несколько его модификаций в ряде приложений, распространявшихся через каталог Google Play. Некоторые из них содержат вредоносное SDK до сих пор, у других он был лишь в определенных версиях, третьи уже удалены. Всего SpinOk обнаружили в 101 программе. Эти программы суммарно были загружены не менее 421 290 300 раз.
Компания «Доктор Веб» оповестила корпорацию Google о выявленной угрозе. Однако, сотни миллионов владельцев Android-устройств рискуют стать жертвами кибершпионажа. Пользователям рекомендуется удалить подозрительные приложения и обновлять свои устройства до последней версии операционной системы.