Cyberthreat.id – Peneliti keamanan di Dr.Web menemukan malwaren Android baru yang didistribusikan sebagai SDK iklan telah ditemukan di beberapa aplikasi, banyak sebelumnya di Google Play dan secara kolektif diunduh lebih dari 400 juta kali.

Dikutip dari Bleeping Computer, peneliti menemukan modul spyware dan melacaknya sebagai 'SpinOk,' yang dapat mencuri data pribadi yang disimpan di perangkat pengguna dan mengirimkannya ke server jarak jauh. SpinkOk menunjukkan perilaku yang tampaknya sah, menggunakan minigame yang mengarah ke “hadiah harian untuk memicu minat pengguna.

“Di permukaan, modul SpinOk dirancang untuk mempertahankan minat pengguna pada aplikasi dengan bantuan mini game, sistem tugas, dan dugaan hadiah dan gambar hadiah,” jelas laporan Doctor Web.

Namun, di latar belakang, trojan SDK memeriksa data sensor perangkat Android (giroskop, magnetometer) untuk memastikan bahwa perangkat tersebut tidak berjalan di lingkungan kotak pasir, yang biasa digunakan oleh peneliti saat menganalisis aplikasi Android yang berpotensi berbahaya. Aplikasi kemudian terhubung ke server jarak jauh untuk mengunduh daftar URL yang dibuka yang digunakan untuk menampilkan minigame yang diharapkan.

Sementara minigame ditampilkan kepada pengguna aplikasi seperti yang diharapkan, Dr.Web mengatakan bahwa di latar belakang, SDK mampu melakukan fungsi berbahaya tambahan, termasuk membuat daftar file dalam direktori, mencari file tertentu, mengunggah file dari perangkat, atau menyalin dan mengganti konten clipboard.

Fungsionalitas eksfiltrasi file sangat memprihatinkan karena dapat mengekspos gambar, video, dan dokumen pribadi. Selain itu, kode fungsionalitas modifikasi clipboard memungkinkan operator SDK untuk mencuri kata sandi akun dan data kartu kredit, atau membajak pembayaran mata uang kripto ke alamat dompet kripto mereka sendiri.

Dr.Web mengklaim SDK ini ditemukan di 101 aplikasi yang diunduh dengan total kumulatif 421.290.300 kali dari Google Play, dengan yang paling banyak diunduh seperti Noizz, Zapya – Transfer File, VFly – Editor Video,  MVBit – Pembuat status video, Biugo – pembuat video & editor video, Crazy Drop, Cashzine, Fizzo Novel, CashEM, dan Tick.

Semua kecuali satu dari aplikasi di atas telah dihapus dari Google Play, yang menunjukkan bahwa Google menerima laporan tentang SDK berbahaya dan menghapus aplikasi yang melanggar hingga pengembang mengirimkan versi yang bersih. Tidak jelas apakah penerbit aplikasi trojan ditipu oleh distributor SDK atau dengan sengaja memasukkannya ke dalam kode mereka, tetapi infeksi ini biasanya diakibatkan oleh serangan rantai pasokan dari pihak ketiga.