Android-Spyware SpinOk kommt auf mehr als 421 Millionen Installationen

Ein Android-Software-Modul mit Spyware-Funktionen hat Doctor Web in Apps auf Google Play mit mehr als 421 Millionen Downloads aufgespürt. Google ist informiert.

In Pocket speichern vorlesen Druckansicht 130 Kommentare lesen
Smartphone Spyware

(Bild: Shutterstock / Motortion Films)

Lesezeit: 4 Min.
Von

Die Virenanalysten von Doctor Web haben im Google-Play-Store eine Spyware-Komponente entdeckt, die 101 Apps mit mindestens 421 Millionen Downloads mitbringen. Die Schadkomponente sammelt Informationen über Dateien auf den infizierten Geräten und kann diese auch zu den Drahtziehern übertragen.

Außerdem könne die Malware Inhalte der Zwischenablage an Server im Netz schicken oder sie modifizieren, führen die IT-Sicherheitsforscher von Doctor Web in ihrer Warnung aus. Die Malware-Komponente wird als Marketing-SDK getarnt, das Entwickler einfach in ihre Apps integrieren können.

Oberflächlich zeigt sich das SpinOk-Modul als Hilfsmittel, App-Nutzer interessiert zu halten. Dazu liefert es Mini-Spiele, ein Aufgabensystem und angebliche Gewinne und Belohnungsbildchen. Bei der Initialisierung verbindet sich das trojanisierte SDK jedoch mit einem Command-and-Control-Server (C&C) und überträgt dabei eine große Menge an technischen Informationen über das infizierte Gerät. Als Antwort erhält die Malware eine Liste an URLs, die es mittels WebView anzeigt – dabei handelt es sich um Werbebanner.

Zu den übertragenen Daten gehören auch Informationen über verfügbare Sensoren wie Gyroskope, Magnetometer und Ähnliche, anhand derer die Malware eine Emulator-Umgebung erkennen und gegebenenfalls andere Codepfade und Funktionen nutzen kann. Damit erschwert sie die Analyse durch Malware-Analysten. Aus demselben Grund ignoriert die Malware auch Proxy-Einstellungen, um Netzwerkverbindungen vor einer einfachen Analyse zu verstecken.

Den Analysten zufolge bohrt das bösartige SDK den eingebetteten Javascript-Code in Webseiten auf, die Werbung anzeigen. Es fügt dem Code Funktionen hinzu, mit denen es eine Liste von Dateien in vorgegebenen Verzeichnissen erhält oder das Vorhandensein einer angegebenen Datei oder eines Pfades auf einem Gerät prüfen kann. Zudem kann es Dateien vom Gerät hochladen und Inhalte aus der Zwischenablage kopieren oder verändern. Das ermöglicht den Drahtziehern hinter dem Schadmodul, an vertrauliche Informationen oder Dateien zu gelangen.

Von den entdeckten Apps im Google-Play-Store enthielten einige das Spyware-SDK oder Varianten davon bis heute. Andere Apps enthielten es nur in bestimmten Versionen oder wurden inzwischen vollständig aus dem App-Katalog entfernt.

Eine ausführliche Liste mit Indicators-of-Compromise (IoCs), also etwa Paketnamen, App-Titel und Hashwerten liefern die Virenanalysten in einem eigens dafür eingerichteten Github-Repository. Wer eine der aufgelisteten Apps installiert hat, sollte sie umgehend vom Smartphone entfernen. Die IT-Sicherheitsforscher geben an, dass sie Google über ihre Funde informiert hätten. Dennoch sind einige der Apps wie "Noizz: video editor with music" dort immer noch verfügbar. Eine automatische Entfernung mittels Google Play Protect hat offenbar noch nicht stattgefunden.

Die populärsten Malware-Apps sind:

  • Noizz: video editor with music (über 100 Mio. Downloads),
  • Zapya - File Transfer, Share (mehr als 100 Mio. Downloads; Trojaner in Version 6.3.3 bis 6.4 enthalten, in 6.4.1 nicht mehr),
  • VFly: video editor&video maker (mehr als 50 Mio. Downloads),
  • MVBit - MV video status maker (über 50 Mio. Downloads),
  • Biugo - video maker&video editor (mehr als 50 Mio. Downloads),
  • Crazy Drop (über 10 Mio. Downloads),
  • Cashzine - Earn money reward (mehr als 10 Mio. Downloads),
  • Fizzo Novel - Reading Offline (mehr als 10 Mio. Downloads),
  • CashEM: Get Rewards (über 5 Mio. Downloads),
  • Tick: watch to earn (mehr als 5 Mio. Downloads).

Vergangene Woche hatten IT-Forscher von Eset eine trojanisierte App mit mehr als 50.000 Installationen entdeckt. Die App war zunächst harmlos, erhielt aber rund ein Jahr nach dem ersten Auftauchen im Play Store Spionagefunktionen.

(dmk)