ユーザー向け情報

閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

検索
検索

電話
テクニカルサポート利用方法

問い合わせ

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

フォーラム(英語)

お問い合わせ履歴

新規お問い合わせ

電話(英語)

+7 (495) 789-45-86

Profile

JP

RU CN DE EN ES FR IT JP KZ UZ PL BY
閉じる
News

カテゴリ別のニュース

ウィルスアラート
インフォーマー
プレスセンター

ニュース一覧に戻る

スパイウェア機能を備えたSpinOkモジュールを含むAndroidアプリケーションが4億2100万回以上インストールされる

2023年5月30日

株式会社Doctor Web Pacific


Doctor Webは、スパイウェア機能を備えたAndroidソフトウェアモジュールを発見しました。このモジュールはデバイス上に保存されたファイルの情報を収集して悪意のあるアクターに送信することができるほか、クリップボードの内容を置き換えたりリモートサーバーにアップロードしたりすることもできます。Dr.Webの分類に従って Android.Spy.SpinOk と名づけられたこのモジュールはマーケティングSDKとして拡散されており、開発者はGoogle Playで入手可能なものを含むあらゆるアプリケーションやゲームにそれを組み込むことができます。

SpinOkモジュールは、表向きはミニゲーム、タスクシステム、賞品や報酬の抽選などによってユーザーの関心を惹きつけておくよう設計されています。初期化時に、このトロイの木馬SDKは感染したデバイスに関する大量の技術情報を含むリクエストを送信してC&Cサーバーに接続します。その中にはセンサー(ジャイロスコープや磁力計など)から取得したデータも含まれており、これらのデータを使用することでエミュレータでの実行を検出し、モジュールの動作ルーチンを調整してセキュリティリサーチャーによる検出を回避することが可能になります。同じく検出を回避する目的で、デバイスのプロキシ設定を無視して解析中にネットワーク接続を非表示にできるようにします。モジュールはサーバーからの応答としてURLのリストを受け取り、それらをWebViewで開いて広告バナーを表示させます。

以下の画像は Android.Spy.SpinOk が表示する広告の例です。

examples of ads examples of ads examples of ads

examples of ads

同時に、このトロイの木馬SDKは広告を表示するWebページ上で実行されるJavaScriptコードに、以下を含む多くの機能を追加します。

  • 指定されたディレクトリ内のファイルのリストを取得する
  • 指定されたファイルやディレクトリがデバイス上に存在することを確認する
  • デバイスからファイルを取得する
  • クリップボードの内容をコピーまたは置き換える

したがって、このトロイの木馬モジュールを操作する攻撃者が該当するコードを広告バナーのHTMLページ内に追加することで、ユーザーのデバイスから機密情報やファイル( Android.Spy.SpinOk の組み込まれたアプリケーションがアクセス可能なファイルなど)を入手することが可能になります。

Doctor Webのスペシャリストによって、Google Playで配信されている複数のアプリケーションでこのトロイの木馬モジュールとその亜種が発見されています。それらの中には現在も悪意のあるSDKが含まれているものがあり、また、特定のバージョンにのみ含まれているものや、Google Playから完全に削除されているものもあります。累計で4億2129万300回以上ダウンロードされた101のアプリケーション内で発見されており、何億ものAndroidユーザーがサイバースパイ活動の被害者となるリスクにさらされています。発見された脅威についてはすでにDoctor WebからGoogleに報告済みです。

#drweb #drweb

#drweb #drweb

以下は、 Android.Spy.SpinOk トロイの木馬SDKが検出された最もポピュラーな上位10のアプリケーションです。

  • Noizz: video editor with music(インストール数1億以上)
  • Zapya - File Transfer, Share(インストール数1億以上、バージョン6.3.3 ~6.4にはトロイの木馬が含まれていましたが、最新のバージョン6.4.1には含まれていません)
  • VFly: video editor&video maker(インストール数5000万以上)
  • MVBit - MV video status maker(インストール数5000万以上)
  • Biugo - video maker&video editor(インストール数5000万以上)
  • Crazy Drop(インストール数1000万以上)
  • Cashzine - Earn money reward(インストール数1000万以上)
  • Fizzo Novel - Reading Offline(インストール数1000万以上)
  • CashEM: Get Rewards(インストール数500万以上)
  • Tick: watch to earn(インストール数500万以上)

アプリケーションの全リストは、こちらから入手可能です。

Android向け Dr.Webアンチウイルス製品は Android.Spy.SpinOk トロイの木馬モジュールの既知のバージョンと、それらを含むアプリケーションをすべて検出・駆除します。そのため、Dr.Webユーザーに危害が及ぶことはありません。

Android.Spy.SpinOkの詳細 ※英語

Indicators of compromise(侵害の痕跡) ※英語

※2023年9月15日追記

モジュールがスパイウェアとして検出される原因となった機能を調査するために、SpinOkからDoctor Webに問い合わせがありました。調査完了後、SpinOKはモジュール (com.spin.ok.gp) をバージョン2.4.2に更新しました。このバージョンにはスパイウェア機能は組み込まれていません。更新されたモジュールのスキャンレポート(英語)はこちらをご確認ください

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments