SpinOk: Weitere infizierte Android-Apps mit 30 Millionen Installationen entdeckt
Die Android-Malware SpinOk schlägt immer größere Wellen und Sicherheitsforscher sind auf fast 200 weitere damit infizierte Apps in Google Play gestoßen.
Das Android-Software-Modul mit Spyware Funktionen SpinOk sorgt für weitere Sicherheitsrisiken bei Android-Nutzern. Nun sind Sicherheitsforscher in Google Play auf weitere damit infizierte Apps gestoßen, die es auf insgesamt rund 30 Millionen Installationen bringen sollen.
Sehr weitverbreitet
Mit den durch Sicherheitsforschern von Dr. Web gemeldeten 101 Apps mit 421 Millionen Installation beläuft sich die Summe inzwischen auf 451 Millionen. Sicherheitsforscher von CloudSEK sind ihrem Bericht zufolge auf 193 kompromittierte Apps in Google Play gestoßen, die es insgesamt auf rund 30 Millionen Installationen bringen. Zum Zeitpunkt der Veröffentlichung ihres Reports sollen davon noch 43 in Googles App Store verfügbar gewesen sein.
Die Malware soll auf Geräte Daten sammeln und an die SpinOk-Hintermänner übermitteln. Da soll auch mit Informationen aus der Zwischenablage geschehen können. Die Sicherheitsforscher geben an, dass sich der Schadcode als Marketing-SDK (Android.Spy.SpinOk) tarnt. Opfern präsentiert es sich etwa in Form von Mini-Spielen oder lockt mit Gewinnen. In Hintergrund schnorchelt der Code aber Nutzerdaten ab.
Apps aller Couleur betroffen
Als infizierte Apps listen die Sicherheitsforscher in ihrem Beitrag einige Beispiele auf. Eine vollständige Liste ist offensichtlich nicht verfügbar. Google soll darüber Bescheid wissen und derzeit handeln.
- HexaPop Link 2248 über 5 Millionen Installationen
- Macaron Match über 1 Millionen Installationen
- Bitcoind Master über 1 Millionen Installationen
- Happy 2048 über 1 Millionen Installationen
- Jelly Connect über 1 Millionen Installationen
- …
Weitere betroffene Apps listet Dr. Web in einem Github-Repository auf. Dort findet man auch Indicator of Compromise (IOC) mit denen man die Malware aufdecken kann. CloudSEK stellt darüber hinaus noch eine Yara-Regel zum Auffinden des Schadcodes bereit.
import "androguard"
rule android_spinok : malware
{
meta:
description = "AndroidSpinOk Spyware"
condition:
androguard.url(/d3hdbjtb1686tn\.cloudfront\.net/)
}
(des)