In de Google Play Store bevinden zich verschillende populaire Android-apps die een spywaremodule bevatten waardoor het mogelijk is voor aanvallers om bestanden van de telefoon of de inhoud van het clipboard te stelen, zo stelt antivirusbedrijf Doctor Web. Bij elkaar zijn de meer dan honderd apps 421 miljoen keer gedownload. Het gaat onder andere om Noizz, Zapya, VFly, MVBit en Blugo, die bij elkaar al 350 miljoen downloads tellen.
De apps maken gebruik van SpinOk, een module die als marketing software development kit (SDK) wordt geadverteerd. De module voegt minigames en "loterijen", alsmede advertenties aan de apps toe. Zodra de SDK actief is maakt die eerst verbinding met een command & control-server en verzamelt informatie over sensoren van de telefoon, zoals de gyroscoop. Volgens Doctor Web wordt dit gedaan om te controleren dat de app niet in een emulator is geladen. Dit zou detectie door beveiligingsonderzoekers moeten tegengaan, aldus de virusbestrijder.
De SDK zorgt er ook voor dat JavaScript die op de webpagina's met advertenties wordt geladen informatie over bestanden op de telefoon kan opvragen en lokale bestanden naar de server van de aanvallers kan sturen. Verder kan de SDK de inhoud van het clipboard kopiëren of aanpassen. De spywaremodule werd in meer dan honderd apps aangetroffen, zo blijkt uit een lijst van Doctor Web. Veel van de apps zijn nog in de Google Play Store te vinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.