Um novo malware para Android, distribuído como um SDK de publicidade, foi descoberto em vários aplicativos e baixado mais de 400 milhões de vezes.
O módulo de spyware, identificado como ‘SpinOk’, pode roubar dados privados armazenados nos dispositivos dos usuários e enviá-los para um servidor remoto.
O SpinOk se comporta de maneira aparentemente legítima, usando minijogos que levam a recompensas diárias para despertar o interesse do usuário.
No entanto, em segundo plano, o SDK do trojan verifica os dados do sensor do dispositivo Android (giroscópio, magnetômetro) para confirmar que não está sendo executado em um ambiente isolado.
O aplicativo então se conecta a um servidor remoto para baixar uma lista de URLs usadas para exibir os minijogos esperados.
Enquanto os minijogos são exibidos para os usuários dos aplicativos como esperado, o SDK é capaz de realizar funções maliciosas adicionais, como listar arquivos em diretórios, procurar arquivos específicos, fazer upload de arquivos do dispositivo ou copiar e substituir o conteúdo da área de transferência.
Vários aplicativos foram removidos do Google Play, indicando que o Google recebeu relatórios sobre o SDK malicioso e removeu os aplicativos ofensivos até que os desenvolvedores submeteram uma versão limpa.