Über 420 Millionen Downloads betroffen von Malware
Es ist eine perfide Idee: Für App-Entwickler ist es sehr praktisch, ihre Ideen aus Modulen aufbauen zu können. Jetzt haben böswillige Akteure es geschafft, für Android eine scheinbare "Advertisement SDK" in vielen Apps unterzubringen. Hinter dem Paket, das es auf der Oberfläche erlaubt, kleine Elemente in Apps zu integrieren, die User zur Nutzung anregen sollen, verbirgt sich eine Malware, die persönliche Daten sammelt."Oberflächlich betrachtet soll das SpinOk-Modul das Interesse der Benutzer an den Anwendungen mithilfe von Minispielen, einem Aufgabensystem und angeblichen Preisen und Belohnungen aufrechterhalten", heißt es im Bericht von Doctor Web. Im Hintergrund werden dann aber bösartige Funktionen ausgeführt, die es unter anderem erlauben, auf private Bilder, Videos und Dokumente Zugriff zu nehmen.
Wie Doctor Web in der Analyse weiter ausführt, haben die Macher aber noch weitere sehr kritische Funktionen in ihre SDK integriert. Der Code zur Änderung der Zwischenablage mache es möglich, Kontopasswörter und Kreditkartendaten zu stehlen oder Kryptowährungszahlungen umzuleiten. Aktuell sind 101 Apps bekannt, die die SpinOK-SDK integriert haben, zusammen kommen diese auf über 420 Millionen Downloads. Im Anschluss die Liste der Anwendungen, die laut Doctor Web am meisten heruntergeladen wurden, die vollständig Auflistung aller betroffenen Apps findet sich auf Github.
Die am häufigsten heruntergeladenen Apps mit SpinOK an Bord:
- Noizz: Video-Editor (100.000.000 Downloads)
- Zapya - File Transfer (100.000.000 Downloads)
- VFly: Video-Editor (50.000.000 Downloads)
- MVBit - MV-Video-Editor (50.000.000 Downloads)
- Biugo - Video-Editor (50.000.000 Downloads)
- Crazy Drop (10.000.000 Downloads)
- Cashzine - Geld verdienen mit Belohnung (10.000.000 Downloads)
- Fizzo Novel - Offline lesen (10.000.000 Downloads)
- CashEM: Belohnungen erhalten (5.000.000 Downloads)
- Tick: Belohnungen erhalten (5.000.000 Downloads)
Google entfernt Apps nach Meldung
Alle der oben erwähnten Apps sind nach Meldung an Google aus dem Google Play Store entfernt worden - einzige Ausnahme: Wie Doctor Web ausführt, liegt die File-Transfer-App Zapya seit Version 6.4.1 wieder ohne die schädliche SDK an Bord vor. Aktuell lässt sich nur schwer klären, ob die Entwickler der Apps von den SDK-Vertreiber getäuscht wurden. Bleepingcomputer kommt in seiner Analyse aber zu einem klaren Schluss: "Solche Infektionen sind in der Regel das Ergebnis eines Angriffs in der Lieferkette durch Dritte."
Zusammenfassung
- Android Malware SpinOK in über 100 Apps entdeckt, 420 Mio. Downloads.
- SpinOK sammelt persönliche Daten, Passwörter, Kreditkartendaten.
- SDK-Vertreiber könnten Entwickler getäuscht haben.
Siehe auch
PyPI vs. Malware: 2FA demnächst für alle Entwickler verpflichtend
QBot: Malware installiert sich über eine Schwachstelle in WordPad
CosmicEnergy: Neue Malware schult Hacker für Angriffe auf StromnetzeMehr anzeigen 
Android: Millionen Smartphones mit vorinstallierter Malware gefunden
Zu viel Malware: PyPI lässt aktuell keine neuen Nutzer mehr zu
PyPI vs. Malware: 2FA demnächst für alle Entwickler verpflichtendQBot: Malware installiert sich über eine Schwachstelle in WordPadCosmicEnergy: Neue Malware schult Hacker für Angriffe auf StromnetzeMehr anzeigen Android: Millionen Smartphones mit vorinstallierter Malware gefundenZu viel Malware: PyPI lässt aktuell keine neuen Nutzer mehr zu