Un nuevo malware para Android distribuido como SDK publicitario ha sido descubierto en múltiples apps, muchas de ellas previamente en Google Play y descargadas colectivamente más de 400 millones de veces.
Investigadores de seguridad de Dr. Web descubrieron el módulo de spyware y lo rastrearon como ‘SpinOk’, advirtiendo que puede robar datos privados almacenados en los dispositivos de los usuarios y enviarlos a un servidor remoto.
La compañía antivirus afirma que SpinkOk muestra un comportamiento aparentemente legítimo, utilizando minijuegos que conducen a “recompensas diarias” para despertar el interés de los usuarios.
“En apariencia, el módulo SpinOk está diseñado para mantener el interés de los usuarios en las aplicaciones con la ayuda de minijuegos, un sistema de tareas y supuestos premios y sorteos de recompensas”, explica el informe de Doctor Web.
En segundo plano, sin embargo, el troyano SDK comprueba los datos de los sensores del dispositivo Android (giroscopio, magnetómetro) para confirmar que no se está ejecutando en un entorno aislado, comúnmente utilizado por los investigadores cuando analizan aplicaciones Android potencialmente maliciosas.
A continuación, la aplicación se conecta a un servidor remoto para descargar una lista de URL abiertas utilizadas para mostrar los minijuegos esperados.
Aunque los minijuegos se muestran a los usuarios de las aplicaciones de la forma esperada, Dr. Web afirma que, en segundo plano, el SDK es capaz de realizar otras funciones maliciosas, como listar archivos en directorios, buscar archivos concretos, cargar archivos desde el dispositivo o copiar y sustituir el contenido del portapapeles.
La funcionalidad de exfiltración de archivos es especialmente preocupante, ya que podría exponer imágenes, vídeos y documentos privados.
Además, el código de la funcionalidad de modificación del portapapeles permite a los operadores del SDK robar contraseñas de cuentas y datos de tarjetas de crédito, o secuestrar pagos de criptodivisas a sus propias direcciones de criptobilleteras.
Dr. Web afirma que este SDK se encontró en 101 aplicaciones que se descargaron un total acumulado de 421.290.300 veces de Google Play.
Info – Ciberseguridad Latam