Uma nova onda de malware SpinOk foi encontrada em aplicativos Android na Google Play, com relatos de mais de 30 milhões de instalações adicionais.
A descoberta foi feita pela equipe de segurança da CloudSEK, que encontrou um conjunto de 193 aplicativos contendo o SDK malicioso, dos quais 43 estavam ativos no Google Play no momento de sua descoberta na semana passada.
Leia mais:
- Alexa: o que é, para que serve e como usar
- Suporte para Alexa: 5 modelos para as caixas de som e telas smart Echo
- 5 dicas para economizar nas compras na Amazon
O SpinOk foi inicialmente descoberto pelo Dr. Web no final do mês passado em um conjunto de cem aplicativos que foram baixados coletivamente mais de 421 milhões de vezes.
Conforme explicado pela empresa de segurança móvel em seu relatório, o SpinOk foi distribuído por meio de um ataque à cadeia de suprimentos do SDK, que infectou diversos aplicativos e, consequentemente, comprometeu vários usuários do Android.
Superficialmente, o SDK fornecia jogos com recompensas diárias, usados legitimamente pelos desenvolvedores para despertar o interesse dos usuários. No entanto, nos bastidores, o trojan era capaz de roubar arquivos e substituir o conteúdo da área de transferência.
A CloudSEK utilizou as IoCs fornecidas no relatório do Dr. Web para descobrir mais infecções do SpinOk, ampliando a lista de aplicativos maliciosos para 193 após encontrar outros 92 aplicativos. Aproximadamente metade deles estava disponível na Google Play.
O aplicativo mais baixado do novo conjunto era o HexaPop Link 2248, com 5 milhões de instalações. No entanto, ele foi removido da Google Play desde que a CloudSEK compilou seu relatório.
Outros aplicativos populares que utilizam o SDK SpinOk e ainda podiam ser encontradas para download no Google Play são:
- Macaron Match (XM Studio) — 1 milhão de downloads
- Macaron Boom (XM Studio) — 1 milhão de downloads
- Jelly Connect (Bling Game) — 1 milhão de downloads
- Tiler Master (Zhinuo Technology) — 1 milhão de downloads
- Crazy Magic Ball (XM Studio) — 1 milhão de downloads
- Happy 2048 (Zhinuo Technology) — 1 milhão de downloads
- Mega Win Slots (Jia22) — 500 mil downloads
A CloudSEK relata que o número total de downloads dos aplicativos infectados pelo SpinOk ultrapassa os 30 milhões.
Vale ressaltar que os desenvolvedores desses aplicativos provavelmente utilizaram o SDK malicioso pensando se tratar de uma biblioteca de publicidade, sem saber que incluía funcionalidades maliciosas.
Isso mostra a complexidade de mapear totalmente ataques à cadeia de suprimentos em grandes plataformas de distribuição de software, como a Google Play, onde localizar todos os projetos que podem estar usando um módulo específico é desafiador e leva a atrasos significativos no processo de remediação de riscos.
A CloudSEK informou o Google sobre os novos aplicativos maliciosos descobertos em 2 de junho de 2023, e o BleepingComputer entrou em contato com a equipe do Android a respeito. Até o momento, o Google não respondeu, e muitos dos aplicativos listados no relatório da CloudSEK ainda estão disponíveis na Google Play no momento desta escrita.
O Bleeping Computer recebeu a seguinte declaração de um porta-voz do Google:
A segurança dos usuários e desenvolvedores está no centro do Google Play. Analisamos os relatórios recentes sobre o SDK SpinOK e estamos tomando as medidas apropriadas em relação aos aplicativos que violam nossas políticas.
Os usuários também estão protegidos pelo Google Play Protect, que alerta sobre aplicativos conhecidos por apresentar comportamento malicioso em dispositivos Android com Google Play Services, mesmo quando esses aplicativos vêm de outras fontes.
Porta-voz do Google
Com informações de Bleeping Computer.
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Tags: