Malware SpinOk descoberto em novos aplicativos Android na Google Play, com mais de 30 milhões de instalações adicionais
Uma nova onda de malware SpinOk foi vista em apps Android na Google Play, com mais de 30 milhões de instalações.
A descoberta foi feita pela equipe de segurança da CloudSEK, que encontrou um conjunto de 193 aplicativos contendo o SDK malicioso, dos quais 43 estavam ativos no Google Play no momento de sua descoberta na semana passada.
SpinOk (Android)
Entretanto o SpinOk foi inicialmente descoberto pelo Dr. Web no final do mês passado em um conjunto de cem aplicativos que foram baixados coletivamente mais de 421 milhões de vezes.
Conforme explicado pela empresa de segurança móvel em seu relatório, o SpinOk se espalhou por meio de um ataque à cadeia de suprimentos do SDK, que infectou diversos aplicativos e, consequentemente, comprometeu vários usuários do Android.
Sobretudo o SDK fornecia jogos com recompensas diárias, usados legitimamente pelos desenvolvedores para despertar o interesse dos usuários. No entanto, nos bastidores, o trojan era capaz de roubar arquivos e substituir o conteúdo da área de transferência.
Aliás CloudSEK utilizou as IoCs fornecidas no relatório do Dr. Web para descobrir mais infecções do SpinOk, ampliando a lista de aplicativos maliciosos para 193 após encontrar outros 92 aplicativos. Aproximadamente metade deles estava disponível na Google Play.
Aplicativos
O aplicativo mais baixado do novo conjunto era o HexaPop Link 2248, com 5 milhões de instalações. No entanto, não está mais no Google Play desde que a CloudSEK compilou seu relatório.
Outros aplicativos populares que utilizam o SDK SpinOk e ainda assim poderiam estar para download no Google Play são:
- Macaron Match (XM Studio) — 1 milhão de downloads
- Macaron Boom (XM Studio) — 1 milhão de downloads
- Jelly Connect (Bling Game) — 1 milhão de downloads
- Tiler Master (Zhinuo Technology) — 1 milhão de downloads
- Crazy Magic Ball (XM Studio) — 1 milhão de downloads
- Happy 2048 (Zhinuo Technology) — 1 milhão de downloads
- Mega Win Slots (Jia22) — 500 mil downloads
A CloudSEK relata que o número total de downloads dos aplicativos infectados pelo SpinOk ultrapassa os 30 milhões.
Vale ressaltar que os desenvolvedores desses aplicativos provavelmente utilizaram o SDK malicioso pensando se tratar de uma biblioteca de publicidade, sem saber que incluía funcionalidades maliciosas.
Isso mostra a complexidade de mapear totalmente ataques à cadeia de suprimentos em grandes plataformas de distribuição de software, como a Google Play. Onde localizar todos os projetos que podem estar usando um módulo específico é desafiador e leva a atrasos significativos no processo de remediação de riscos.
CloudSek (Android)
A CloudSEK informou o Google sobre os novos apps maliciosos descobertos em 2 de junho de 2023, e o BleepingComputer entrou em contato com a equipe do Android a respeito. Até o momento, o Google não respondeu, e muitos dos aplicativos listados no relatório da CloudSEK ainda estão disponíveis na Google Play.
O Bleeping Computer recebeu a seguinte declaração de um porta-voz do Google:
Assim a segurança dos usuários e desenvolvedores está primeiramente no centro do Google Play. Analisamos sobretudo os relatórios recentes sobre o SDK SpinOK e estamos tomando as medidas apropriadas em relação aos aplicativos que violam nossas políticas.
Usuários
Os usuários também estão protegidos pelo Google Play Protect, que alerta sobre aplicativos conhecidos por apresentar comportamento malicioso em dispositivos Android com Google Play Services, mesmo quando esses aplicativos vêm de outras fontes.
Leia também nosso artigo “Semântica HTML“