Sono passati appena pochi giorni dalla scoperta del virus Daam, che ruba i dati, cripta i file e spia gli utenti, che è di nuovo tempo di parlare, in quota sicurezza informatica, di un nuovo attacco hacker.
La security house di Doctor Web, realizzatrice dell’antivirus “Dr.Web”, ha rilevato un modulo software Android con capacità di spionaggio. Esso raccoglie dati sui file memorizzati sui dispositivi e li invia a soggetti malevoli. Può anche modificare e caricare i contenuti degli appunti su un server remoto. Questo modulo, denominato Android.Spy.SpinOk secondo la classificazione di Dr.Web, viene distribuito come SDK di marketing. Gli sviluppatori possono integrarlo in varie tipologie di app e giochi, anche in quelli presenti sul Play Store.
In apparenza, il modulo SpinOk serve a mantenere l’interesse degli utenti per le app mediante mini giochi, un sistema di attività e presunte ricompense ed estrazioni a premi. Al momento dell’inizializzazione, questo SDK trojan si collega a un server remoto di comando e controllo, inviando una richiesta con molte informazioni tecniche sul dispositivo infetto.
Queste includono i dati provenienti da sensori, come giroscopio, magnetometro, ecc., che possono essere usate per individuare un ambiente di emulazione e adeguare la routine operativa del modulo per evitare di essere scoperto dai ricercatori di sicurezza. A tal fine, ignora anche le impostazioni proxy del dispositivo, che gli permettono di nascondere le connessioni di rete durante l’analisi. In risposta, il modulo riceve una lista di URL dal server, che poi apre in WebView per mostrare banner pubblicitari.
Contemporaneamente, questo SDK trojan amplia le funzionalità del codice JavaScript eseguito sulle pagine web caricate con gli annunci. Aggiunge molte funzioni a tale codice, tra cui la possibilità di ottenere la lista dei file nelle cartelle specificate, verificare l’esistenza di un file o di una cartella sul dispositivo, ottenere un file dal dispositivo e copiare o sostituire il contenuto degli appunti. Questo consente agli operatori del modulo trojan di ottenere informazioni riservate e file dal dispositivo di un utente, ad esempio file a cui possono accedere le app con Android.Spy.SpinOk integrato. Per farlo, gli attaccanti dovrebbero aggiungere il codice corrispondente nella pagina HTML del banner pubblicitario.
Gli specialisti di Doctor Web hanno trovato questo modulo trojan e diverse varianti in varie app distribuite tramite Play Store. Alcune di esse contengono ancora SDK dannosi; altre li avevano solo in alcune versioni o sono state rimosse completamente dal catalogo. Gli analisti di sicurezza lo hanno scoperto in 101 app con almeno 421.290.300 download totali. Di conseguenza, centinaia di milioni di proprietari di dispositivi Android rischiano di essere vittime dello spionaggio informatico. Doctor Web ha informato Google della minaccia rilevata.