Malware Android baru yang didistribusikan sebagai SDK iklan telah ditemukan di beberapa aplikasi, banyak di antaranya sebelumnya ada di Google Play dan secara kolektif diunduh lebih dari 400 juta kali.

Peneliti keamanan Dr.Web menemukan modul spyware dan melacaknya sebagai “SpinOk”, memperingatkan bahwa itu dapat mencuri data pribadi yang disimpan di perangkat pengguna dan mengirimkannya ke server jarak jauh.

Perusahaan antivirus mengatakan SpinkOk menunjukkan perilaku yang tampaknya sah, menggunakan mini-game yang mengarah ke “hadiah harian” untuk menarik minat pengguna.

“Di permukaan, modul SpinOk dirancang untuk membuat pengguna tertarik pada aplikasi menggunakan mini-game, sistem tugas, dan hadiah pura-pura dan gambar hadiah,” jelas Laporan Dokter Web.

Namun, di latar belakang, Trojan SDK memeriksa data sensor perangkat Android (giroskop, magnetometer) untuk mengonfirmasi bahwa perangkat tersebut tidak beroperasi di lingkungan kotak pasir, yang biasanya digunakan oleh peneliti selama analisis aplikasi Android yang berpotensi berbahaya.

Aplikasi kemudian terhubung ke server jarak jauh untuk mengunduh daftar URL terbuka yang digunakan untuk menampilkan minigame yang diharapkan.

Sementara minigame ditampilkan kepada pengguna aplikasi sebagaimana dimaksud, Dr.Web mengatakan bahwa di balik layar, SDK mampu melakukan fungsionalitas berbahaya tambahan, termasuk membuat daftar file dalam direktori, mencari file tertentu, mengunduh file dari perangkat, atau menyalin. dan mengganti isi clipboard.

Fitur eksfiltrasi file menjadi perhatian khusus karena dapat mengekspos gambar, video, dan dokumen pribadi.

Selain itu, kode fitur modifikasi clipboard memungkinkan operator SDK mencuri kata sandi akun dan data kartu kredit, atau mengalihkan pembayaran mata uang kripto ke alamat dompet kripto mereka sendiri. .

Dr.Web mengklaim bahwa SDK ini ditemukan di 101 aplikasi yang diunduh dengan total kumulatif 421.290.300 kali dari Google Play, dengan yang paling banyak diunduh tercantum di bawah ini:

• Noizz: editor video dengan musik (100.000.000 unduhan)
• Zapya – Transfer File, Berbagi (100.000.000 unduhan; Dr.Web mengatakan modul Trojan hadir di versi 6.3.3 hingga versi 6.4 dan tidak lagi hadir di versi 6.4.1 saat ini)
• VFly: editor video dan pembuat video (50.000.000 unduhan)
• MVBit – Pembuat Status Video MV (50.000.000 unduhan)
• Biugo – videografer dan editor video (50.000.000 unduhan)
• Crazy Drop (10.000.000 unduhan)
• Cashzine – Dapatkan hadiah uang tunai (10.000.000 unduhan)
• Fizzo Novel – Membaca Offline (10.000.000 unduhan)
• CashEM: dapatkan hadiah (5.000.000 unduhan)
• Centang: tonton untuk menang (5.000.000 unduhan)

Semua kecuali satu aplikasi di atas telah dihapus dari Google Play, yang menunjukkan bahwa Google telah menerima laporan tentang SDK berbahaya dan menghapus aplikasi yang melanggar hingga pengembang mengirimkan versi yang bersih.

Daftar lengkap aplikasi yang seharusnya menggunakan SDK dapat ditemukan di situs Web Dr.

Tidak diketahui apakah penerbit aplikasi trojan ditipu oleh distributor SDK atau dengan sengaja memasukkannya ke dalam kode mereka, tetapi infeksi semacam itu biasanya merupakan hasil dari serangan rantai pasokan pihak ketiga.

Jika Anda menggunakan salah satu aplikasi yang tercantum di atas, Anda harus memperbarui ke versi terbaru yang tersedia melalui Google Play, yang harus bersih.

Jika aplikasi tidak tersedia di toko aplikasi Android resmi, disarankan untuk segera menghapus instalannya dan memindai perangkat Anda dengan alat antivirus seluler untuk memastikan bahwa semua sisa spyware telah dihapus .

BleepingComputer telah menghubungi Google untuk pernyataan atas dasar infeksi besar-besaran ini, tetapi tidak ada komentar yang tersedia pada saat publikasi.