Android-Spyware kommt auf über 421 Millionen Installationen

Android Malware

Ein Marketing Software Development Kit (SDK) wurde als Spyware-Komponente entdeckt, die mindestens 101 Apps im Google Play Store mit über 421 Millionen Downloads infiziert hat. Die Spyware sammelt Informationen über die Dateien des infizierten Geräts und übermittelt diese Daten an die Hintermänner der Malware. Außerdem kann die Malware-Komponente den Inhalt der Zwischenablage des Geräts an Server im Internet senden oder die Daten verändern.

Oberflächlich betrachtet scheint das SpinOk-Modul ein Tool zu sein, das App-Nutzer mit Minispielen, Aufgabensystemen und vermeintlichen Belohnungen und Abzeichen bei der Stange hält. Während der Initialisierung stellt das trojanisierte SDK jedoch eine Verbindung zu einem Command-and-Control-Server (C&C) her und überträgt eine große Menge technischer Informationen auf das infizierte Gerät. Die Malware empfängt dann eine Liste von URLs, die sie mit WebView anzeigt, bei denen es sich um Werbung handelt. Zu den übermittelten Daten gehören auch Informationen über die verfügbaren Sensoren des Geräts wie Gyroskope und Magnetometer, die zur Erkennung einer Emulatorumgebung verwendet werden können.

Das bösartige SDK fügt Code in Webseiten ein, die Werbung anzeigen. Es fügt dem Code Funktionen hinzu, um eine Liste von Dateien in bestimmten Verzeichnissen abzurufen oder zu prüfen, ob eine bestimmte Datei oder ein bestimmter Pfad auf dem Gerät vorhanden ist. Sie kann auch Dateien vom Gerät hochladen und Inhalte aus der Zwischenablage kopieren oder ändern.

Obwohl einige der Apps im Google Play Store bis vor kurzem das Spyware-SDK oder seine Varianten enthielten, gab es sie bei anderen nur in bestimmten Versionen oder sie wurden ganz entfernt. Eine umfassende Liste von Kompromissindikatoren (Indicators of Compromise, IoCs), wie Paketnamen, App-Titel und Hash-Werte, wird von den Virenanalysten in einem speziellen Github-Repository bereitgestellt.

Betroffene Android Apps

  • Noizz: video editor with music (über 100 Mio. Downloads),
  • Zapya – File Transfer, Share (mehr als 100 Mio. Downloads; Trojaner in Version 6.3.3 bis 6.4 enthalten, in 6.4.1 nicht mehr),
  • VFly: video editor&video maker (mehr als 50 Mio. Downloads),
  • MVBit – MV video status maker (über 50 Mio. Downloads),
  • Biugo – video maker&video editor (mehr als 50 Mio. Downloads),
  • Crazy Drop (über 10 Mio. Downloads),
  • Cashzine – Earn money reward (mehr als 10 Mio. Downloads),
  • Fizzo Novel – Reading Offline (mehr als 10 Mio. Downloads),
  • CashEM: Get Rewards (über 5 Mio. Downloads),
  • Tick: watch to earn (mehr als 5 Mio. Downloads).

Quelle(n):
Heise

Links mit einem * sind Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Um über alle News auf dem Laufenden zu bleiben, folge mir auf Google News oder Facebook, abonniere meinen Telegram-, WhatsApp-, X/Twitter- oder Mastodon-Kanal oder RSS-Feed!

Der einzige Tech-Newsletter, den Du brauchst

Abonniere Schmidtis Blog, um tägliche Updates der neuesten Artikel direkt in Deinem Posteingang zu erhalten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert