Den ondsindede Goldoson-app blev downloadet mere end 100 millioner gange fra Google Play Store, forårsager et Android-baseret malware-udbrud.
Cybersikkerhedsforskere har for nylig identificeret en ondsindet Android-stamme kaldet Goldoson, som har infiltreret mere end 60 applikationer i den officielle Google Play Butik. Apps er blevet downloadet den svimlende 100 million gange.
Den samme malware er blevet downloadet yderligere otte millioner gange gennem EN butik, en populær tredjepartsappudbyder i Sydkorea. Goldoson har kapacitet til at høste data fra installerede apps, Wi-Fi og Bluetooth-forbundne gadgets, og GPS-placeringer.
Hvordan blev Goldoson afsløret?
McAfees Mobile Research Team identificerede et softwarebibliotek, ved navn Goldoson, som samler lister over installerede applikationer, samt en historik over Wi-Fi- og Bluetooth-enheders data, inklusive GPS-placeringer i nærheden. Endvidere, biblioteket har mulighed for at starte annoncesvindel ved at klikke på annoncer i baggrunden uden brugerens samtykke.
Forskerholdet afdækket mere end 60 apps med dette ondsindede tredjepartsbibliotek, med i alt 100 millioner downloads på ONE-butikken og Google Play app-downloadmarkederne i Sydkorea. Selvom det ondsindede bibliotek blev oprettet af en ekstern part, ikke app-udviklerne, risikoen for dem, der har installeret apps, forbliver.
Hvordan inficerer Goldoson Android-brugere?
Goldoson-biblioteket registrerer samtidigt enheden og opnår fjernkonfigurationer, når appen startes. Navnet på biblioteket og domænet på fjernserveren svinger for hver app, og er krypteret. Monikeren “Goldoson” er afledt af det først opdagede domænenavn, McAfees team sagde.
Fjernkonfigurationen indeholder detaljer for hver funktion og frekvensen af komponenterne. Biblioteket tegner enhedsinformationen baseret på parametrene, sender den derefter til en ekstern server. Tags som 'ads_enable’ og 'collect_enable’ signal til systemet, hvilken funktion der skal aktiveres eller deaktiveres, med yderligere parametre, der dikterer betingelser og tilgængelighed.
Biblioteket har kapacitet til at indlæse websider uden brugerens viden, som kan bruges til at skabe økonomisk gevinst ved at vise annoncer. Det virker ved at indsprøjte HTML-kode i en diskret WebView og rekursivt besøge URL'er, dermed skabe skjult trafik.
Google Play har set mere end 100 millioner downloads af kontaminerede apps, og Koreas førende app store spor ikke langt bagefter med ca 8 million installationer.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: