60 zaraženih aplikacija na Google play-u, sa preko 100 miliona preuzimanja.

Objavljeno: 2023-06-19 22:00:00 Autor: Gov - CIRT

Goldoson, novo otkriveni Android malware, koristi Google Play za lateralno kretanje, a nalazi se u 60 legitimnih aplikacija koje su ukupno preuzete 100 miliona puta. Zlonamjerni malware se u aplikacijama našao preko biblioteke koju su programeri nesvjesno dodali svojim aplikacijama.

Nekoliko popularnih aplikacija je pogođeno Goldosonom, uključujući:

  • L.POINT with L.PAY – 10 miliona preuzimanja
  • Swipe Brick Breaker – 10 miliona preuzimanja,
  • Money Manager Expense & Budget – 10 miliona preuzimanja ,
  • GOM Player – 5 miliona preuzimanja,
  • LIVE Score, Real-Time Score – 5 miliona preuzimanja,
  • Pikicast – 5 miliona preuzimanja,
  • Compass 9: Smart Compass – 1 milion preuzimanja,
  • GOM Audio - Music, Sync lyrics – 1 milion preuzimanja,
  • LOTTE WORLD Magicpass – 1 milion preuzimanja,
  • Bounce Brick Breaker – 1 milion preuzimanja,
  • Infinite Slice – 1 milion preuzimanja,
  • SomNote - note aplikacija – 1 milion preuzimanja,
  • Korea Subway Info: Metroid – 1 milion preuzimanja,

Prema timu istraživača iz McAfee-a, Goldoson može prikupljati podatke o instaliranim aplikacijama, povezanim WiFi i Bluetooth uređajima i GPS lokacijama korisnika. Dodatno, vrši prevaru klikom na oglase u pozadini bez korisnikovog pristanka.

Kada korisnik pokrene aplikaciju koja sadrži Goldoson, biblioteka registruje uređaj i dobija svoju konfiguraciju sa udaljenog servera čiji je domen sakriven. 

Konfiguracija sadrži parametre koji određuju funkcije Goldosona za krađu podataka i klikanje na oglase koje treba izvršavati na zaraženom uređaju i njihovu učestalost. 

Funkcija prikupljanja podataka obično se aktivira svaka dva dana i šalje na C2 server listu instaliranih aplikacija, istoriju geografske lokacije, MAC adrese uređaja povezanih preko Bluetooth i WiFi-a i još mnogo toga. Obim prikupljanja podataka zavisi od dozvola koje su odobrene zaraženoj aplikaciji prilikom instalacije i verzije Androida. Iako Android 11 i novije verzije pružaju bolju zaštitu protiv proizvoljnog prikupljanja podataka, McAfee je utvrdio da čak i u nedavnim verzijama operativnog sistema Goldoson ima dovoljno dozvola za prikupljanje osjetljivih podataka u 10% zaraženih aplikacija.

Funkcija klikanja na oglase se izvršava učitavanjem HTML koda i ubacivanjem u prilagođeni, skriveni WebView, a zatim se koristi za posjećivanje više URL-ova radi generisanja prihoda od oglasa. Žrtva ne primjećuje nijedan znak ove aktivnosti na svom uređaju.

Mnoge pogođene aplikacije su očišćene od strane njihovih programera koji su uklonili zlonamjernu biblioteku, dok su aplikacije koje nisu reagovale na vrijeme uklonjene sa Google Play prodavnice zbog nepoštovanja pravila prodavnice.

Korisnici koji su instalirali pogođene aplikacije sa Google Play-a mogu smanjiti rizik primjenom najnovijeg dostupnog ažuriranja.

Uobičajeni znakovi zaraženosti adverom i malware-om uključuju pregrijavanje uređajabrzo pražnjenje baterije i neuobičajenu visoku potrošnju internet saobraćaja čak i kada uređaj nije u upotrebi.