Il malware SpinOk è stato individuato in un nuovo gruppo di applicazioni Android su Google Play, con oltre 30 milioni di installazioni segnalate.
Il team di sicurezza di CloudSEK ha scoperto un insieme di 193 app contenenti un SDK dannoso, di cui 43 erano attive su Google Play al momento della scoperta fatta la scorsa settimana.
SpinOk su Google Play
SpinOk è stato inizialmente identificato da Dr. Web alla fine del mese scorso in un gruppo di 100 app che erano state scaricate complessivamente oltre 421 milioni di volte.
Secondo quanto riportato nel rapporto della società di sicurezza mobile, SpinOk si è diffuso attraverso un attacco alla catena di distribuzione dell’SDK, infettando numerose app e, di conseguenza, compromettendo numerosi dispositivi Android.
All’apparenza, l’SDK forniva mini-giochi con ricompense giornaliere, un meccanismo legittimo utilizzato dagli sviluppatori per coinvolgere gli utenti. Tuttavia, in background, il trojan poteva rubare file e alterare il contenuto degli Appunti.
Sfruttando le informazioni fornite nel rapporto del Dr. Web, CloudSEK ha individuato ulteriori infezioni da SpinOk, portando il numero totale di app dannose a 193 dopo la scoperta di altre 92 applicazioni. Circa la metà di queste erano disponibili su Google Play.
La più scaricata del nuovo gruppo di app era HexaPop Link 2248, con 5 milioni di installazioni. Tuttavia, è stata rimossa da Google Play dopo la compilazione del rapporto da parte di CloudSEK.
Altre app popolari che utilizzano l’SDK SpinOk e rimangono disponibili per il download su Google Play includono:
- Macaron Match (XM Studio) – 1 milione di download
- Macaron Boom (XM Studio) – 1 milione di download
- Jelly Connect (Bling Game) – 1 milione di download
- Tiler Master (Zhinuo Technology) – 1 milione di download
- Crazy Magic Ball (XM Studio) – 1 milione di download
- Happy 2048 (Zhinuo Technology) – 1 milione di download
- Mega Win Slots (Jia22) – 500.000 download
CloudSEK riporta che il totale delle installazioni delle app colpite da SpinOk supera i 30 milioni.
È importante notare che gli sviluppatori di queste app probabilmente hanno utilizzato l’SDK dannoso pensando che fosse una libreria pubblicitaria, senza essere consapevoli delle funzionalità dannose presenti.
L’elenco completo delle applicazioni infette è disponibile nell’appendice del rapporto di CloudSEK.
Ciò dimostra la complessità del rilevamento completo degli attacchi alla catena di distribuzione su piattaforme di distribuzione software di grandi dimensioni come Google Play Store, dove individuare ogni progetto che potrebbe utilizzare un modulo specifico rappresenta una sfida e può causare gravi ritardi nella risoluzione dei rischi.
CloudSEK ha informato Google delle nuove app dannose scoperte il 2 giugno 2023 e Google ha risposto quanto segue:
La sicurezza degli utenti e degli sviluppatori è la nostra priorità su Google Play. Abbiamo esaminato i recenti rapporti sull’SDK SpinOk e stiamo prendendo le misure necessarie riguardo alle app che violano le nostre politiche. Gli utenti sono protetti anche da Google Play Protect, che avvisa gli utenti quando vengono rilevati comportamenti dannosi nelle app su dispositivi Android con Google Play Services, anche se le app provengono da altre fonti.
Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.
Una Padawan Etichal pronta a difendere l’anello più debole della catena…
Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.
Tre caratteristiche che la distinguono:
La precisione
Sempre alla ricerca di imparare cose nuove
La sua auto…comprensiva di antenna
Colore preferito? Verde, ovviamente!