Spyware é encontrado em mais de 100 aplicativos da Google Play 

Da Redação
31/05/2023

A empresa de antivírus Doctor Web identificou spyware em mais de 100 aplicativos Android que tiveram mais de 421 milhões de downloads cumulativos na Google Play. O módulo malicioso, que a empresa chamou de SpinOk, é distribuído como um kit de desenvolvimento de software (SDK) de marketing. Quando instalado em um dispositivo ele pode coletar informações sobre arquivos, enviar arquivos para os invasores e roubar o conteúdo da área de transferência.

O módulo SpinOk oferece minigames, tarefas e supostos prêmios para manter o interesse dos usuários nos aplicativos. Após a execução, o SDK se conecta ao servidor de comando e controle (C&C) e envia informações do dispositivo, incluindo dados de sensores, que permitem detectar ambientes de emulador. A resposta do servidor contém muitos URLs (endereços web) usados para exibir banners de publicidade via WebView.

Além disso, o módulo pode coletar uma lista de arquivos em diretórios especificados, verificar a presença de arquivos e diretórios específicos, carregar arquivos do dispositivo e copiar ou substituir o conteúdo da área de transferência. “Isso permite que os operadores do módulo trojan obtenham informações e arquivos confidenciais do dispositivo de um usuário, por exemplo, arquivos que podem ser acessados por aplicativos com Android.Spy.SpinOk integrados. Para isso, os invasores precisariam adicionar o código correspondente na página HTML do banner do anúncio”, explica a Doctor Web.

Veja isso
Apps para a Google Play à venda na darknet por até US$ 20 mil
Adwares no Google Play e App Store: 13 milhões de downloads

O módulo malicioso e as modificações foram identificadas em um total de 101 aplicativos na Google Play. O Google foi notificado e removeu alguns dos aplicativos. Em alguns casos, apenas algumas versões continham o SDK malicioso.

Alguns dos aplicativos mais populares que contêm o módulo malicioso incluem Noizz (mais de 100 milhões de instalações), Zapya (mais de 100 milhões de instalações — o código estava presente nas versões 6.3.3 a 6.4), VFly (mais de 50 milhões de downloads), MVBit (mais mais de 50 milhões de instalações) e Biugo (mais de 50 milhões de downloads). Doctor Web publicou uma lista completa de aplicativos infectados.

Compartilhar: