4億台以上のAndroid端末がマルウェア感染か、トロイの木馬SDK「SpinOkモジュール」に注意喚起

マルウェア「SpinOkモジュール」とは

Doctor Webによれば、今回のマルウェア・スパイウェア「SpinOkモジュール」は、ミニゲーム、タスクシステム、賞品や報酬の抽選などによってユーザーの関心を惹きつけるよう設計されているという。

このトロイの木馬SDKに感染したデバイスは、その技術情報C&Cサーバーに接続して送信すると続ける。

そのデータにはジャイロスコープや磁力系といったセンサー類も含まれており、それらを利用してユーザーが操作しているように偽装する。

それによりセキュリティリサーチャーたちの検疫から回避していたようだ。

また、同じ回避目的としてデバイスのプロキシ設定を無効にしてネットワーク接続を非表示に設定、サーバーから応答のあったURLリストを受け取り、下図のような広告バナーをWebViewで開いて表示する。

さらに厄介なのは広告バナーを表示する際、それらのWebページで悪意あるJavaScriptが実行され、下記のコードが実行されるという。

• 指定ディレクトリ内のファイル一覧を取得
• 指定ファイルおよび指定ディレクトリがデバイス上に存在するか確認
• デバイスからファイルを取得する
• クリップボードの内容をコピー、または置換する

つまりトロイの木馬SDKによってアプリから表示される広告バナー内のHTMLページでJavaScriptを実行、ユーザーの機密情報やファイルを入手しているようだ。

Doctor WebによってGoogle Playで配信されているトロイの木馬モジュールおよび亜種が発見されており、すでにストアから削除されているものもある模様。

しかし、特定のバージョンにだけ含まれていることもあったことから注意を促している。

同社が確認しただけでも4億2129万300回以上のアプリインストールが行われており、何億ものAndroidユーザーがサイバースパイ活動の被害者もしくは意図せず加害者になっている可能性がある。

同社が公開したインストール回数の多いAndroidアプリは下記のとおり。

• Noizz: video editor with music(インストール数1億以上)
• Zapya – File Transfer, Share(インストール数1億以上、バージョン6.3.3 ～6.4にはトロイの木馬が含まれていましたが、最新のバージョン6.4.1には含まれていません)
• VFly: video editor&video maker(インストール数5000万以上)
• MVBit – MV video status maker(インストール数5000万以上)
• Biugo – video maker&video editor(インストール数5000万以上)
• Crazy Drop(インストール数1000万以上)
• Cashzine – Earn money reward(インストール数1000万以上)
• Fizzo Novel – Reading Offline(インストール数1000万以上)
• CashEM: Get Rewards(インストール数500万以上)
• Tick: watch to earn(インストール数500万以上)

なお、同社は発見した脅威を全てGoogleに報告したとしている。

Source : Dr.Web