Опасен Android малуер проникна в 60 Google Play приложения със 100 млн. изтегляния
Нов злотворен програмен продукт за Android, наименуван „ Goldoson “, е проникнал в Гугъл Play посредством 60 законни приложения. Те имат общо 100 милиона изтегляния. Зловредният съставен елемент на софтуера е част от библиотека на трета страна, употребена от всичките 60 приложения. Разработчиците неумишлено са я добавили в своите приложения.
Някои от засегнатите приложения са:
L.POINT с L.PAY – 10 милиона изтегляния Swipe Brick Breaker – 10 милиона изтегляния Money Manager Expense & Budget – 10 милиона изтегляния GOM Player – 5 милиона изтегляния LIVE Score, Резултат в действително време – 5 милиона изтегляния Pikicast – 5 милиона изтегляния Compass 9: Smart Compass – 1 милион изтегляния GOM Audio – Music, Sync lyrics – 1 милион изтегляния LOTTE WORLD Magicpass – 1 милион изтегляния Bounce Brick Breaker – 1 милион изтегляния Infinite Slice – 1 милион изтегляния SomNote – Beautiful note app- 1 милион изтегляния Korea Subway Info: Metroid- 1 милион изтегляния
Според изследователския екип на McAfee, който е разкрил Goldoson, зловредният програмен продукт може да събира голям брой данни.
За конфигурираните приложения, обвързваните с WiFi и Bluetooth устройства, за GPS местоположението.
Освен това той може да прави рекламни измами, като щраква върху реклами във фонов режим без единодушието на потребителя.
Кражба на данни от устройства с Android
Когато потребителят започва приложение, което съдържа Goldoson, библиотеката записва устройството и получава конфигурацията му от далечен сървър, чийто домейн е замаскиран. Конфигурацията съдържа параметри, които задават кои функционалности за кражба на данни и кликане на реклами да извършва Goldoson на инфектираното устройство и какъв брой постоянно.
Функцията за събиране на данни нормално е настроена да се задейства на всеки два дни, като изпраща на сървъра C2 лист с конфигурираните приложения, история на географското местонахождение, MAC адрес на устройства, свързани посредством Bluetooth и WiFi, и други
Нивото на събиране на данни зависи от разрешенията, предоставени на инфектираното приложение по време на инсталирането му, и от версията на Android.
Android 11 и по-нови версии са по-добре предпазени от случайно събиране на данни
Въпреки това McAfee откри, че даже в последните версии на операционната система Goldoson е имал задоволително позволения, с цел да събира чувствителни данни в 10% от приложенията. Функцията за кликване върху реклами се реализира посредством зареждане на HTML код и инжектирането му в персонализиран, прикрит WebView прозорец. От там се употребява за осъществяване на голям брой визити на URL адреси, генерирайки доходи от реклами.
Жертвата не вижда никакви индикации за тази активност на своето устройство.
Библиотеката е отстранена, само че рискът към момента съществува. McAfee е член на Алианса за отбрана на приложенията на Гугъл, който оказва помощ за поддържането на Гугъл Play чист от закани, свързани със злотворен програмен продукт. В това си качество откривателите осведомиха Гугъл за своите констатации, а разработчиците на засегнатите приложения бяха надлежно предизвестени.
Много от засегнатите приложения бяха почистени от разработчиците им, които отстраниха нарушаващата библиотека. Тези, които не реагираха в точния момент, бяха отстранени от Гугъл Play заради неспазване на разпоредбите на магазина.
Гугъл удостовери действието пред BleepingComputer, като съобщи, че приложенията са нарушили политиките на Гугъл Play.
Безопасността на потребителите и разработчиците е в основата на Гугъл Play. Когато открием приложения, които нарушават нашите политики, подхващаме съответните дейности. Уведомихме разработчиците, че техните приложения са в нарушаване на политиките на Гугъл Play и са нужни ремонти, с цел да се приведат в сходство с тях.
Потребителите, които са конфигурирали наранено приложение от Гугъл Play, могат да отстранят риска, като приложат последната налична актуализация.
Goldoson обаче съществува и в магазините за приложения за Android на трети страни.
Вероятността те към момента да крият зловредната библиотека е огромна.
Често срещани признаци за заразяване с рекламен и злоумишлен програмен продукт са загряване на устройството, бързо изтощение на батерията и извънредно високо потребление на интернет данни, даже когато устройството не се употребява.
