Doctor Web, une entreprise spécialisée dans la cybersécurité, a récemment découvert la présence d’un module logiciel pour Android présentant des fonctionnalités d’espionnage. Ce module, nommé Android.Spy.SpinOk selon la classification de Doctor Web, se diffuse déguisé derrière un kit de développement d’apps (SDK) marketing. Les développeurs peuvent l’incorporer dans toutes sortes d’applications et de jeux, y compris ceux disponibles sur Google Play.
Collecte sournoise de données
En surface, le module SpinOk est conçu pour maintenir l’intérêt des utilisateurs pour les applications à l’aide de mini-jeux, d’un système de tâches et de supposés tirages au sort de prix et de récompenses. Cependant, une fois initialisé, ce cheval de Troie se connecte à un serveur distant et envoie une demande contenant une grande quantité d’informations techniques sur l’appareil infecté. Ça inclut les données de divers capteurs, comme le gyroscope et le magnétomètre, qui peuvent être utilisées pour détecter un environnement émulé et ajuster la routine de fonctionnement du module pour éviter d’être détecté par les chercheurs en sécurité. Le malware ignore également les paramètres de proxy de l’appareil, lui permettant de cacher les connexions réseau pendant l’analyse.
Le module SpinOk, une fois intégré à une application, élargit les capacités du code JavaScript exécuté sur les pages web chargées contenant des publicités. Il ajoute de nombreuses fonctionnalités à ce code, y compris la possibilité d’obtenir la liste des fichiers dans des répertoires spécifiés, de vérifier la présence d’un fichier ou d’un répertoire spécifié sur l’appareil, de siphonner un fichier de l’appareil, et de copier ou de remplacer le contenu du presse-papiers. Cela permet aux opérateurs du trojan d’obtenir des informations et des fichiers confidentiels à partir de l’appareil d’un utilisateur.
Parmi la centaine d’apps infectées, celles-ci sont les plus populaires (en tout, SpinOK a été téléchargé plus de 430 millions de fois !) : Noizz (éditeur vidéo qui dépasse les 100 millions d’installations), Zapya (transfert de fichiers, au moins 100 millions d’installations), l’éditeur vidéo VFly, les outils de création vidéo MVBit et Biugo… La liste complète est disponible à cette adresse.
Certaines de ces applications contiennent encore le SDK malveillant à ce jour ; d’autres l’avaient uniquement dans des versions particulières ou ont été complètement retirées de la boutique. Ce sont des centaines de millions de propriétaires d’appareils Android qui sont à risque de devenir victimes d’espionnage, alors ne trainez pas pour supprimer les applications en question !
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.