惡意間諜軟件肆虐，累計下載量超4.21 億次

近日，安全研究人員發現了一種新的 Android 木馬，它可能危害到 4.21 億臺設備。

Doctor Web團隊在上周發布的公告中，公布了有關木馬的信息，該木馬被稱為 Android.Spy.SpinOk 。

SpinOk 具有多種間諜軟件功能，包括文件收集和剪貼板內容捕獲。該木馬可以嵌入其他應用程序中，這就是它傳播以感染數百萬設備的方式。

SpinOk 模塊似乎可以為用戶提供吸引人的功能，例如迷你游戲、任務和獎品機會。但是，在激活后，此特洛伊木馬 SDK 會建立與命令和控制 (C2) 服務器的連接，傳輸有關受感染設備的大量技術數據。

Dr.Web點名被惡意植入木馬病毒的App多達101個，累積下載量超過4.2億次，其中甚至不乏被用戶大量下載的熱門App，如影片剪輯 工具"Noizz"、文檔傳輸工具"Zapya"，這些APP的下載量都超過1億次。

以下為Dr.Web列出10款最熱門的受影響App：

影片剪輯工具Noizz（下載量1億次以上）

文檔傳輸工具 Zapya（下載量1億次以上）

影片剪輯工具 VFly（下載量5千萬次以上）

MV剪輯工具 MVBit（下載量5千萬次以上）

 影片制作 Biugo（下載量5千萬次以上）

手機小游戲 Crazy Drop（下載量1千萬次以上）

每日金錢獎勵 Cashzine （下載量1千萬次以上）

脫機閱讀工具 Fizzo Novel（下載量1千萬次以上）

每日獎勵 CashEM（下載量5百萬次以上）

觀看影片獲取獎勵 Tick（下載量5百萬次以上）

Viakoo首席執行官巴德·布魯姆黑德 (Bud Broomhead)表示：“威脅行為者已深入挖掘 Android 游戲的利基市場，這些游戲專注于為玩家賺錢。”

他還表示，“他們很可能出于某種原因專注于該利基市場，例如觀察這些資金轉移到銀行賬戶或玩家將擁有可以進一步利用的特定文件的可能性。”

這些數據包括來自各種傳感器（陀螺儀、磁力計等）的信息，使模塊能夠識別仿真器環境并調整其操作以避免被安全研究人員檢測到。

此外，惡意軟件可以忽略設備代理設置，從而在分析過程中隱藏網絡連接。作為回報，它會從服務器接收 URL 列表，并將其加載到 WebView 中以展示廣告橫幅。

Doctor Web 專家在 Google Play 上的幾個應用程序中檢測到木馬模塊及其各種迭代的存在。雖然有些仍然包含惡意軟件開發工具包 (SDK)，但其他一些僅包含特定版本或已從平臺中完全刪除。

Zimperium 產品戰略副總裁 Krishna Vishnubhotla 解釋說：“對于移動應用程序開發人員來說，SDK 大多是黑盒子。所有這些都集成在一起以完成特定的已知任務，無論是免費的還是付費的。但沒有人檢查 SDK 還能做什么，尤其是當它在最終用戶設備上的應用程序中運行時。”

Krishna Vishnubhotla 說道：“惡意行為者也不會讓這變得簡單，因為大多數可疑活動代碼只有在設備上滿足特定條件時才會下載，以避免被發現。”

Doctor Web 表示，其分析顯示該木馬存在于 101 個應用程序中，總下載量為 421,290,300 次。該公司證實他們已將這一威脅通知了谷歌。