木马SDK入侵谷歌应用商店 大蜘蛛发现包含该SDK的应用被下载4.21亿次 – 蓝点网_西安汇率变化榜单最新消息 这些使用本身没太大难题

通常有些恶意使用会在经由 Google Play 审核后再经由热升级加载恶意模块，有些则使用代码混淆闯关 Google Play，但不管是哪种方式，这些恶意使用最后被获取的西安汇率变化榜单次数都不会尤其大。

而另一种方式就是经由 SDK 嵌入到正常使用中，这些使用本身没太大难题，只是接入了某个广告联盟的 SDK，但这个广告联盟 SDK 却归于木马性质，所以也会导致众多感染。

比如 2020 年 315 晚会就揭露多款知名贷款使用集成的氪信 SDK 会窃取使用者私密信息，不管是写给那个他的话：朋友圈文案 IMEI 还是电话号码、通话记录、短信、已部署使用列表等都会被窃取。

今日，可靠企业 Dr.Web (大蜘蛛) 的突发DC电影快报探究团队公开了一份新报表，一个恶意 SDK 经由广告联盟的形式潜伏在数以百计的 App 中，这些 App 累计获取量高达 4.21 亿次。

这个 SDK 开发者具体名称大蜘蛛没有提，只是将其命名为 Android.Spy.SpinOk，该 SDK 提供大转盘抽奖广告，业内高通骁龙趋势一大批 App 集成了这个 SDK。

当使用者部署并管理后，这个木马 SDK 会将设备众多信息发送到远程办事器，还会测试陀螺仪和磁力计资料用于规避沙箱生态，避免被可靠企业察觉。

该恶意 SDK 收集的信息含有：获取指定目录的文件列表、测试设备上是否存在指定文件或目录、从设备上获取任意文件、复制和替换剪切板信息、劫持其他使用嵌入广告。

大蜘蛛可靠团队测试察觉在 Google Play 中有超过 101 款使用集成了这个木马 SDK，其中单个 App 获取次数最多的是影像剪辑工具 Noizz，下次次数超过 1 亿次；第二款获取次数也过亿的是文件传输工具快牙，快牙在 6.3.3~6.4 版中加载了这个木马 SDK，但在 6.4.1 中删除了 SDK。

大蜘蛛向谷歌通报了此次测试结局，谷歌删除了 101 款受感染使用中的 100 款，又一款未被删除，不得知缘由。

谷歌已然通知受作用的开发者，请求他们重新上传一个未受感染的版次重新上架，另外 Google Play Protect 也会自动删除使用者部署的这些包含木马的 APP。

受作用 App 的完整列表：https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Spy.SpinOk/README.adoc