CloudSEK Vigil A pesquisa da equipe encontrou 101 aplicativos comprometidos com o malware SpinOK Android distribuído como um SDK de publicidade. O mais preocupante é que 43 desses aplicativos ainda estão ativos na Play Store, alguns com mais de 5 milhões de downloads. No total, estimamos que 30 milhões de usuários sejam afetados por esse conjunto adicional de aplicativos. Isso ocorre na esteira de um relatório recente publicado pela empresa de segurança cibernética Dr Web, que descobriu o Android.Spy.Spinok na cadeia de suprimentos de vários aplicativos, colocando em risco a privacidade e a segurança do usuário. Ao compreender o escopo dessa ameaça à cadeia de suprimentos e implementar as medidas de segurança necessárias, as organizações podem proteger as informações pessoais e a privacidade de seus usuários no cenário dinâmico dos aplicativos móveis.

Análise

Informações do Blog

Nossa equipe de pesquisa encontrou um blog Uma postagem mencionando o malware SpinOK Android distribuído como um SDK de publicidade foi descoberta em vários aplicativos, muitos anteriormente no Google Play e baixados coletivamente mais de 400 milhões de vezes. O vírus Android.Spy.Spinok detecta spyware oculto nos módulos de marketing e nos aplicativos nos quais eles estão incorporados. Ele coleta arquivos de dispositivos Android e os transfere para atacantes e também pode manipular o conteúdo da área de transferência. A equipe do Dr.Web identificou o seguinte URL do Cloudfront como um dos indicadores de rede para malware: https [:] //d3hdbjtb1686tn [.] cloudfront [.] net/gpsdk.html , que serve como um indicador crucial da presença do malware

Aproveitando nossas ferramentas de segurança da cadeia de suprimentos de aplicativos móveis, começamos a examinar a situação e ficamos alarmados ao descobrir que esse spyware malicioso, disfarçado de SDK de publicidade, havia se infiltrado em vários aplicativos na Google Play Store.

Detectando rapidamente pacotes infectados por malware

Usando nossas APIs Bevigil OSINT mapeamento de domínio para aplicativo recursos nos quais conseguimos identificar rapidamente quais aplicativos continham ou continham anteriormente o URL malicioso do cloudfront. Surpreendentemente, descobrimos mais 193 aplicativos, ampliando a lista inicial de 101 aplicativos comprometidos fornecida pelo Dr. Web. Dos 193 aplicativos identificados, nossa análise revelou que 43 aplicativos ainda estão disponíveis na Google Play Store. Isso indica um comprometimento maior no ecossistema da Play Store, deixando uma base de usuários maior suscetível a possíveis violações de privacidade e exfiltração de dados.

‍

Análise do SDK malicioso

Para validar as descobertas, examinamos manualmente os aplicativos identificados, que exibiram características semelhantes às descritas no relatório do Dr. Web. Nossa investigação confirmou a presença do método malicioso usado para obter o endereço do servidor C&C e de vários métodos usados para exfiltrar dados e arquivos pessoais.

‍

Malware obtendo o servidor C&C atual usando o url do cloudfront:

‍

Lista dos 10 principais aplicativos infectados ao vivo com base nas instalações na Play Store:

‍

A magnitude da situação se torna aparente quando consideramos a base coletiva de usuários de aproximadamente 30 milhões de indivíduos impactado por esses aplicativos comprometidos. Após um exame cuidadoso desses aplicativos potencialmente comprometidos, fica evidente que uma parte significativa deles se enquadra na categoria de jogos casuais. Freqüentemente, os usuários baixam esses aplicativos, interagem brevemente com eles e, posteriormente, esquecem sua presença em seus dispositivos. Diante disso, é altamente recomendável que os usuários utilizem consistentemente um software antivírus para escanear periodicamente seus dispositivos e detectar quaisquer ameaças potenciais ocultas. Ao tomar medidas proativas para proteger seus dispositivos, os usuários podem se proteger das consequências não intencionais desses aplicativos infectados.

Regra YARA para detecção

Criamos uma regra yara para detectar esse malware em aplicativos Android

import "androguard"

rule android_spinok : malware
{
   	meta:
description = "AndroidSpinOk Spyware"
condition:
		androguard.url(/d3hdbjtb1686tn\.cloudfront\.net/)
}

Impacto e mitigação

A ampla distribuição de aplicativos comprometidos contendo o SDK android.spy.Spinok representa graves ameaças à privacidade e à segurança do usuário. Com milhões de downloads em vários aplicativos, a escala potencial de exfiltração de dados, vigilância não autorizada e comprometimento de informações confidenciais é significativa.

As organizações devem garantir seriamente a segurança da cadeia de suprimentos e implementar ativamente medidas para proteger seus usuários contra possíveis ameaças. Isso deve incluir

• Conduzindo análises de código completas
• Verificando SDKs de terceiros
• Monitorando regularmente seus aplicativos em busca de sinais de comprometimento

‍

Mitigando os riscos da cadeia de suprimentos digital: a abordagem proativa da SviGil

Este relatório revela que um problema generalizado de aplicativos infectados por malware na Play Store, devido ao uso de um SDK malicioso, destaca um risco crítico da cadeia de suprimentos digital. St. Vigil é capaz de identificar proativamente esses riscos. Ele detecta o uso de SDKs potencialmente arriscados no desenvolvimento de aplicativos antes que eles representem um problema de segurança, permitindo que as organizações respondam com rapidez e eficiência.

‍

Além disso, a SviGil conduz uma análise completa de toda a infraestrutura digital de uma organização. Essa análise não se limita a componentes grandes, como serviços de fornecedores de nuvem; ela se estende a elementos menores, como bibliotecas de JavaScript usadas no front-end de um site. Essa visibilidade abrangente permite que as organizações entendam e gerenciem melhor sua cadeia de suprimentos digital.

‍

Ao criar um mapa detalhado de todos os fornecedores digitais, integrações, dependências e plug-ins usados por uma organização, o SVigil facilita que as organizações identifiquem possíveis vulnerabilidades e ameaças em sua cadeia de suprimentos digital.

‍

O SviGil garante proteção robusta contra ameaças de infraestrutura, fornecendo informações detalhadas sobre dependências de terceiros e possíveis riscos de segurança. Isso inclui a capacidade de identificar e mitigar ameaças de malware provenientes de SDKs maliciosos.

‍

Referências

• https://news.drweb.com/show/?i=14705&lng=en
• https://www.bleepingcomputer.com/news/security/android-apps-with-spyware-installed-421-million-times-from-google-play/

‍

Apêndice

IOC - Lista de aplicativos infectados ao vivo

‍

Aviso: as informações fornecidas sobre o número de usuários afetados e a quantidade de aplicativos envolvidos na campanha de malware são baseadas em nossa pesquisa realizada em 1º de junho de 2023 às 17:00 IST. Observe que esses números estão sujeitos a alterações à medida que novas investigações e descobertas são feitas. Nós nos esforçamos para fornecer informações precisas e atualizadas, mas é essencial reconhecer que a natureza dinâmica do cenário de segurança cibernética pode influenciar as estatísticas e as descobertas ao longo do tempo.

‍

‍