Cyberthreat.id – Peneliti keamanan dari CloudSEK menemukan bahwa malware SpinOk ditemukan di kumpulan baru aplikasi Android di Google Play, dilaporkan dipasang sebanyak 30 juta kali.

Dikutip dari Bleeping Computer, awalnya peneliti menemukan 193 aplikasi yang membawa SDK berbahaya, 43 di antaranya aktif di Google Play pada saat penemuannya minggu lalu. SpinOk sendiri pertama kali ditemukan oleh Dr.Web akhir bulan lalu dalam kumpulan seratus aplikasi yang telah diunduh secara kolektif lebih dari 421 juta kali.

Seperti yang dijelaskan oleh perusahaan keamanan seluler dalam laporannya, SpinOk didistribusikan melalui serangan rantai pasokan SDK yang menginfeksi banyak aplikasi dan, selanjutnya, menembus banyak pengguna Android.

Di permukaan, SDK menyajikan mini-game dengan hadiah harian yang secara sah digunakan oleh pengembang untuk menarik minat penggunanya. Namun, di latar belakang, trojan tersebut dapat digunakan untuk mencuri file dan mengganti konten clipboard.

“Kami menggunakan IoC yang disediakan dalam laporan Dr.Web untuk mengungkap lebih banyak infeksi SpinOk, memperluas daftar aplikasi buruk menjadi 193 setelah menemukan 92 aplikasi tambahan,” kata CloudSEK.

Batch baru yang paling banyak diunduh adalah HexaPop Link 2248, yang memiliki 5 juta instalasi. Namun, itu telah dihapus dari Google Play sejak CloudSEK menyusun laporannya. Aplikasi populer lainnya yang menggunakan SpinOk SDK dan tetap tersedia untuk diunduh melalui Google Play seperti Macaron Match (XM Studio) dengan 1 juta unduhan, Macaron Boom (XM Studio) dengan 1 juta unduhan, Jelly Connect (Game Bling) dengan1 juta unduhan, Tiler Master (Zhinuo Technology) dengan 1 juta unduhan, Crazy Magic Ball (XM Studio) dengan 1 juta unduhan, Congratulation 2048 (Teknologi Zhinuo) dengan 1 juta unduhan, dan Mega Win Slots (Jia22) dengan 500.000 unduhan.

CloudSEK melaporkan bahwa jumlah unduhan kolektif untuk aplikasi tambahan yang ditunggangi SpinOK mencapai lebih dari 30.000.000. Perlu dicatat bahwa pengembang aplikasi ini kemungkinan besar menggunakan SDK berbahaya karena mengira itu adalah perpustakaan iklan, tidak menyadari bahwa itu menyertakan fungsi berbahaya.

“Ini adalah bukti kompleksitas pemetaan serangan rantai pasokan sepenuhnya di platform distribusi perangkat lunak besar seperti Google Play Store, di mana menemukan setiap proyek yang mungkin menggunakan modul tertentu,” kata CloudSEK.

CloudSEK memberi tahu Google tentang aplikasi jahat baru yang ditemukannya pada hari Jumat, 2 Juni 2023, dan BleepingComputer menghubungi tim Android tentang hal itu. Google hanya menyatakan jika keamanan pengguna dan pengembang merupakan inti dari Google Play. Kami telah meninjau laporan terbaru tentang SpinOK SDK dan mengambil tindakan yang sesuai pada aplikasi yang melanggar kebijakan.

Selain itu, pengguna juga dilindungi oleh Google Play Protect, yang memperingatkan pengguna tentang aplikasi yang diketahui menunjukkan perilaku berbahaya di perangkat Android dengan Layanan Google Play, meskipun aplikasi tersebut berasal dari sumber lain.