Spyware Found in Google Play Apps With Over 420 Million Downloads
2023/05/31 SecurityWeek — Google Play で発見されたのは、100 種類以上の Android アプリに組み込まれたスパイウェアであり、その累積ダウンロード数は 4億2100万回にものぼると、アンチウイルス会社の Doctor Web が報告している。Doctor Web が SpinOk と命名した、この悪意のモジュールは、マーケティング SDK として配布されており、ファイルに関する情報収集/攻撃者へのファイル送信/クリップボードの内容の窃取などを、被害者のデバイス上で実行するという。
この SpinOk モジュールは、悪意のアプリへのユーザーの関心を維持するために、ミニゲーム/タスク/偽の賞品などを提供する。
そして、SDK が実行されると、Command and Control (C2) サーバへの接続が行われ、センサーからのデータなどを含む、大量のデバイス情報が送信され、エミュレーター環境の検出へといたる。 サーバからの応答には、広告バナーを WebView 経由で表示するために用いられる、多数の URL が含まれる。
このモジュールの機能として挙げられるのは、指定ディレクトリ内のファイルリストの収集/特定のファイルやディレクトリの存在の確認/デバイスからのファイルのアップロード/クリップボードのコピーと置換などである。
Doctor Web は、「それらの機能を操る、トロイの木馬モジュールのオペレーターは、ユーザーのデバイスから機密情報やファイルなどを取得するが、その中には、Android.Spy.SpinOk が組み込まれたアプリからアクセス可能なファイルも含まれる。ただし、それを実行する攻撃者は、広告バナーの HTML ページに対応するコードを追加する必要がある」と説明している。
この悪意のモジュールを組み込む改変は、Google Play に存在する、合計で 101 件のアプリで確認された。Google は通知を受け、いくつかのアプリを削除したが、特定のバージョンのみに悪意の SDK が含まれていたケースもあるという。
下記は、悪意のモジュールを含む、人気アプリの一部だ:
- Noizz (1億ダウンロード以上)
- Zapya (1億ダウンロード以上) 悪意のコードは Ver 6.3.3〜6.4 に存在
- VFly (5,000万ダウンロード以上)
- MVBit (5,000万インストール以上)
- Biwogo (5,000万ダウンロード以上)
Doctor Web は、感染したアプリの全リストを公開している。
ちょっとググってみたら、Noizz と VFly と MVBit はビデオ編集で、Zapya は P-to-P ファイル共有でした。このようなアプリで、1億ダウンロードの実績があると、誰もが信頼してしまうでしょう。それにしても、マーケティング SDK を装うという、SpinOk の戦術は大成功していますね。 よろしければ、Malware + Mobile で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.