2023.05.29

Doctor Web公司侦测到具有间谍功能的安卓操作系统软件模块。 这种模块能够收集设备所存储文件的相关信息并将其传输给不法分子，还能替换剪贴板的内容并将其上传到远程服务器。模块以营销 SDK 的名义传播，开发人员将其嵌入各种安卓 游戏和应用程序，包括在 Google Play上架的游戏和应用。 根据 Dr.Web的分类标准，这一间谍模块被命名为 Android.Spy.SpinOk

SpinOk 模块通过小游戏、各种任务以及所谓的抽奖让用户留在应用程序中。 进行初始化时这个木马 SDK会连接到 C&C 服务器并发送一个请求，其中包含受感染设备的大量技术数据，包括来自陀螺仪、磁力计等传感器的数据，可用于识别模拟环境中的运行并调整恶意程序的操作，以避免其被侦测。 出于同样的目的，会忽略设备代理设置，可在被分析时隐藏网络连接。发出申请后，模块从控制服务器接收链接列表，并将其加载到 WebView 来显示广告横幅。

Android.Spy.SpinOk显示的广告示例：

同时，木马SDK扩展了可在所加载广告网页上运行的JavaScript代码的能力， 为其添加了许多功能，包括：

• 获取指定目录中的文件列表；
• 检查设备上十分存在特定文件或目录；
• 从设备接收文件
• 获取和更改剪贴板的内容。

这让控制此木马模块的人员能够从用户的设备获取机密信息和文件。 例如，内置 Android.Spy.SpinOk 的应用程序可访问的文件。攻击者只需将相应的代码添加到广告横幅的 HTML 页面中。

我公司技术人员专家在Google Play目录中的许多应用程序都检测到了此木马模块及其变种，某些应用至今仍然包含恶意 SDK，其他应用仅在某些版本中有此模块，或者已删除。 我们的病毒分析师共侦测到内置此模块的程序 105 个，总下载量至少达 421,290,300 次。这意味着，数亿安卓设备用户已面临成为网络间谍活动受害者的风险。我公司已将此次侦测到的威胁通知了谷歌。

以下所列是侦测到木马 SDK Android.Spy.SpinOk的 10 个下载量最多的程序名称：

• Noizz: 带音乐的视频编辑器（至少 100 000 000 次安装）
• 
Zapya文件交换软件 （至少 100 000 000 次安装; 木马模块内置于 版本6.3.3至版本6.4，最新版6.4.1中已删除）
• VFly: video editor&video maker （至少 50 000 000 次安装）
• MVBit - MV video status maker （至少 50 000 000 次安装）
• Biugo: 奇幻视频编辑器（至少 50 000 000 次安装）
• Crazy Drop （至少 10 000 000 次安装）
• Cashzine - Earn money reward （至少 10 000 000 次安装）,
• Fizzo Novel - Reading Offline （至少 10 000 000 次安装）
• CashEM:Get Rewards （至少 5 000 000 次安装）
•  Tick:watch to earn （至少 5 000 000 次安装)

查看恶意应用完整列表请打开[此链接].

保护anz移动设备的Dr.Web反病毒软件能成功检测并删除所有已知版本的Android.Spy.SpinOk木马模块及其嵌入的应用程序，因此这一恶意模块不会给我们的用户构成任何危险。

Android.Spy.SpinOk详细信息

陷落指标

新闻2023年9月15日更新

SpinOk公司已联系Doctor Web公司排查其产品被侦测的原因。 经排查，SpinOK公司对其软件进行了修改，软件模块（com.spin.ok.gp）已更新至2.4.2版本，不包含恶意功能。 更新后模块的检测报告。