Se ha descubierto que una cantidad significativa de aplicaciones de Android, incluidas varias que estaban disponibles anteriormente en Google Play Store, contienen un kit de desarrollo de software potencialmente peligroso.
El SDK recientemente identificado, conocido como "SpinOK", fue sacado a la luz por Dr. Web . Este kit de desarrollo de software en particular es un módulo de publicidad que utiliza varias tácticas, como ofrecer minijuegos y recompensas diarias, para atraer a los usuarios y mantener su interés en los anuncios que se muestran.
Tras la investigación, Dr. Web descubrió un SDK y le otorgó el nombre "SpinOK". Disfrazado como un módulo de anuncios aparentemente inocuo que emplea funciones atractivas como minijuegos y premios diarios, SpinOK tenía como objetivo mantener la participación del usuario con los anuncios mostrados.
Sin embargo, sin que los usuarios lo supieran, este módulo aparentemente inofensivo estaba extrayendo subrepticiamente información confidencial del dispositivo en el que estaba instalado. Como resultado, los usuarios se enfrentaron sin saberlo a mayores riesgos de robo de identidad, fraude electrónico y varias otras formas de ciberdelincuencia.
"En la superficie, el módulo SpinOk está diseñado para mantener el interés de los usuarios en las aplicaciones con la ayuda de minijuegos, un sistema de tareas y supuestos premios y sorteos de recompensas", afirmaron los investigadores.
Más allá de su funcionalidad engañosa, el SDK descubierto estuvo involucrado en un extenso robo de datos a través de las aplicaciones comprometidas. Para asegurarse de que no estaba operando dentro de un entorno de espacio aislado, el software malicioso verificó los sensores del dispositivo objetivo.
Una vez confirmado, estableció una conexión de red para obtener una lista de URL esenciales para renderizar los minijuegos integrados. De manera inquietante, esto permitió que el SDK robara una amplia gama de contenido, incluidos videos, fotos y otra información privada. Al escanear sistemáticamente directorios, buscar documentos específicos y luego transferirlos a un servidor remoto, el malware permitió el acceso no autorizado a los archivos confidenciales de los usuarios.
Además, el malware exhibió una táctica común empleada por actores maliciosos: monitorear el portapapeles para recopilar información confidencial. Esta técnica aumentó el riesgo de una mayor exposición de los datos, ya que el SDK rastreaba e interceptaba clandestinamente los datos almacenados en el portapapeles, lo que podía comprometer detalles críticos y exacerbar la amenaza a la privacidad del usuario.
Más de 420 millones de descargas
El alcance del SDK es asombroso, con más de 420 millones de instancias de aplicaciones que contienen este SDK que se descargan únicamente desde Google Play . Entre las aplicaciones comprometidas, los investigadores identificaron dos muy populares, Noizz: editor de video con música y Zapya - File Transfer, Share, ambas con más de 100 millones de usuarios.
El módulo troyano se encontró en las versiones 6.3.3 a 6.4 de Zapya, mientras que la versión 6.4.1 se verificó como limpia. En particular, otras aplicaciones muy descargadas, incluidas MVBit (un productor de estado de video de MV) y Biugo (un creador y editor de video), acumularon más de 50 millones de descargas cada una.
Estas son algunas de las aplicaciones más descargadas identificadas por Dr. Web:
- Noizz: editor de video con música - 100,000,000 de descargas
- Zapya – Transferencia de archivos, Compartir - 100 000 000 de descargas (módulo troyano presente en las versiones 6.3.3 a 6.4, pero ausente en la versión actual 6.4.1)
- VFly: editor de video y creador de video - 50,000,000 descargas
- MVBit - Creador de estado de video MV - 50,000,000 descargas
- Biugo - creador de videos y editor de videos - 50,000,000 descargas
- Crazy Drop - 10.000.000 de descargas
- Cashzine - Gane dinero recompensa - 10,000,000 descargas
- Fizzo Novel – Leer sin conexión - 10.000.000 de descargas
- CashEM: Obtenga recompensas - 5,000,000 de descargas
- Marque: ver para ganar - 5,000,000 de descargas
El artículo informa que casi todas las aplicaciones implicadas se han eliminado de Google Play Store, y los lectores interesados pueden consultar la lista completa de aplicaciones afectadas para obtener más información.
