Alig néhány napja számolhattunk be arról, hogy a Play Áruházba bejutott egy olyan program, amibe frissítéssel juttattak trójait, és az az eset néhány tízezer készüléket érinthetett. Ehhez képest most egy olyan kémprogram akadt horogra, ami már százmilliókat érinthetett, és az érintett szoftverek terjesztésében ezúttal is közreműködött a Google alkalmazásboltja.

A SpinOk névre hallgató modul látszólag ártalmatlan, de a színfalak mögött képes akár fájlokat, jelszavakat, bankkártya azonosítókat is eltulajdonítani. Ráadásul az sem igazán tisztázott egyelőre, hogy az applikációkat fejlesztők tisztában voltak-e azzal, hogy a programokban felhasznált modul milyen kártékony kódokat tartalmaz. Ez ugyanis nagyon jól maszkolta a tevékenységét.

Manapság az alkalmazások nagyon sok modult használnak, és a SpinOk látszólag arra szolgált, hogy fenntartsa az emberek érdeklődését az alkalmazásokon belül minijátékokkal, kisebb végrehajtandó feladatokkal, valamint jutalmak osztogatásával, ezek sorsolgatásával. Ilyenekkel valószínűleg már mindenki találkozott, jellemzően ingyenes szoftverekben bukkannak fel hasonló dolgok. Ebben az esetben viszont ezek a tevékenységek csak álcaként szolgáltak.

Az Android.Spy.SpinOk kártevő a háttérben nagy mennyiségű adatot érhetett el a megfertőzött okostelefonokról reklámokba ágyazott káros HTML kódokat is bevetve. Képes olvasni a szenzoroktól származó adatoktat, ami látszólag nem bír nagy jelentőséggel, de ebből ki tudta azt deríteni, hogy emulátor környezetben (sandbox) fut-e, és tudott úgy viselkedni ilyen esetben, hogy a biztonsági kutatók ne füleljék le. Megoldotta szükség esetén, hogy elrejtse a hálózati tevékenységének nyomait, és így adatokat is feltűnésmentesen mozgathatott.

Olyan feladatokra képes a SpinOk kártevő, mint például a fájlok listázása a háttértár meghatározott mappáiból, célirányosan is kutathat egy adott fájl, dokumentum után a háttérben. A felfedett fájlokat le is tudta másolni az eszközről, továbbíthatott akár képeket vagy érzékeny személyes információkat tartalmazó dokumentumokat az általános adatforgalmazásba csomagolva. Hozzáférést szerezhetett a vágólaphoz is, és erről lemásolhatott anyagokat vagy módosíthatta is ezeket. A vágólapra az emberek sokszor másolnak ki telefonszámokat, banki azonosítókat, így ezeket is megszerezhette a kémprogram.

Összesen 101 alkalmazásban fedezték fel a biztonsági szakemberek a SpinOk nyomait, és voltak brutálisan népszerű szoftverek is az érintettek között. A teljesség igénye nélkül említenénk néhányat a legtöbb telepítéssel rendelkezők közül. A Noizz és a Zapya egyaránt több mint 100 millió alkalommal lett telepítve, az előbbi videó és zeneszerkesztő célt szolgált, az utóbbi pedig fájlkezelésre ment rá, és megosztási funkciókkal szolgált. A VFly, a Biugo és a MVBit szintén videókkal kapcsolatos lehetőségeket biztosítottak, amellett, hogy kémprogramot vonultattak fel. Ezeket több mint 50 milliószor telepítették.

Az appok egy része el lett már távolítva, egy másik része azonban jelenleg is elérhető és telepíthető. Mivel ebben az esetben tényleg könnyen megeshet, hogy valamelyik appot telepítették az emberek a sok közül, érdemes átnézni az egész listát. Ezt innen lehet elérni.