Goldoson Android Malware downloadet 100 millioner gange

Den ondsindede Goldoson-app blev downloadet mere end 100 millioner gange fra Google Play Store, forårsager et Android-baseret malware-udbrud.

Cybersikkerhedsforskere har for nylig identificeret en ondsindet Android-stamme kaldet Goldoson, som har infiltreret mere end 60 applikationer i den officielle Google Play Butik. Apps er blevet downloadet den svimlende 100 million gange.

Den samme malware er blevet downloadet yderligere otte millioner gange gennem EN butik, en populær tredjepartsappudbyder i Sydkorea. Goldoson har kapacitet til at høste data fra installerede apps, Wi-Fi og Bluetooth-forbundne gadgets, og GPS-placeringer.

Hvordan blev Goldoson afsløret?

McAfees Mobile Research Team identificerede et softwarebibliotek, ved navn Goldoson, som samler lister over installerede applikationer, samt en historik over Wi-Fi- og Bluetooth-enheders data, inklusive GPS-placeringer i nærheden. Endvidere, biblioteket har mulighed for at starte annoncesvindel ved at klikke på annoncer i baggrunden uden brugerens samtykke.

Forskerholdet afdækket mere end 60 apps med dette ondsindede tredjepartsbibliotek, med i alt 100 millioner downloads på ONE-butikken og Google Play app-downloadmarkederne i Sydkorea. Selvom det ondsindede bibliotek blev oprettet af en ekstern part, ikke app-udviklerne, risikoen for dem, der har installeret apps, forbliver.

Hvordan inficerer Goldoson Android-brugere?

Goldoson-biblioteket registrerer samtidigt enheden og opnår fjernkonfigurationer, når appen startes. Navnet på biblioteket og domænet på fjernserveren svinger for hver app, og er krypteret. Monikeren “Goldoson” er afledt af det først opdagede domænenavn, McAfees team sagde.

Fjernkonfigurationen indeholder detaljer for hver funktion og frekvensen af komponenterne. Biblioteket tegner enhedsinformationen baseret på parametrene, sender den derefter til en ekstern server. Tags som 'ads_enable’ og 'collect_enable’ signal til systemet, hvilken funktion der skal aktiveres eller deaktiveres, med yderligere parametre, der dikterer betingelser og tilgængelighed.

Biblioteket har kapacitet til at indlæse websider uden brugerens viden, som kan bruges til at skabe økonomisk gevinst ved at vise annoncer. Det virker ved at indsprøjte HTML-kode i en diskret WebView og rekursivt besøge URL'er, dermed skabe skjult trafik.

Google Play har set mere end 100 millioner downloads af kontaminerede apps, og Koreas førende app store spor ikke langt bagefter med ca 8 million installationer.