Die bösartige Goldoson-App wurde mehr als heruntergeladen 100 millionenfach von der Google Play Store, einen Android-basierten Malware-Ausbruch verursachen.
Cybersicherheitsforscher haben kürzlich einen bösartigen Android-Stamm namens Goldoson identifiziert, die mehr als infiltriert hat 60 Anwendungen im offiziellen Google Play Store. Die Apps wurden umwerfend heruntergeladen 100 Millionen mal.
Dieselbe Malware wurde weitere acht Millionen Mal über EINEN Store heruntergeladen, ein beliebter Drittanbieter von Apps in Südkorea. Goldoson kann Daten von installierten Apps sammeln, Wi-Fi- und Bluetooth-verbundene Geräte, und GPS-Standorte.
Wie wurde Goldoson aufgedeckt??
Das Mobile Research Team von McAfee hat eine Softwarebibliothek identifiziert, mit dem Namen Goldson, die Listen der installierten Anwendungen sammelt, sowie einen Verlauf der Daten von Wi-Fi- und Bluetooth-Geräten, einschließlich GPS-Standorten in der Nähe. Weiter, Die Bibliothek hat die Möglichkeit, Anzeigenbetrug zu initiieren, indem sie ohne Zustimmung des Benutzers im Hintergrund auf Anzeigen klickt.
Das Forschungsteam unbedeckt mehr als 60 Apps mit dieser schädlichen Bibliothek eines Drittanbieters, mit insgesamt 100 Millionen Downloads im ONE Store und auf den Google Play-App-Download-Märkten in Südkorea. Obwohl die schädliche Bibliothek von einer externen Partei erstellt wurde, nicht die App-Entwickler, Das Risiko für diejenigen, die die Apps installiert haben, bleibt bestehen.
Wie infiziert Goldoson Android-Benutzer??
Die Goldoson-Bibliothek registriert gleichzeitig das Gerät und erhält Fernkonfigurationen, wenn die App gestartet wird. Der Name der Bibliothek und die Domäne des Remote-Servers schwanken für jede App, und ist verschlüsselt. Der Spitzname “Goldoson” wird vom ersten entdeckten Domänennamen abgeleitet, Das teilte das Team von McAfee mit.
Die Remote-Konfiguration enthält Details für jedes Feature und die Häufigkeit der Komponenten. Die Bibliothek zeichnet die Geräteinformationen basierend auf den Parametern, überträgt es dann an einen entfernten Server. Tags wie „ads_enable’ und 'collect_enable’ signalisiert dem System, welche Funktionen aktiviert oder deaktiviert werden sollen, mit weiteren Parametern, die Bedingungen und Verfügbarkeit bestimmen.
Die Bibliothek kann Webseiten ohne Wissen des Benutzers laden, die verwendet werden können, um durch die Anzeige von Anzeigen finanziellen Gewinn zu erzielen. Es funktioniert, indem es HTML-Code in eine diskrete WebView einfügt und URLs rekursiv besucht, wodurch versteckter Verkehr entsteht.
Google Play hat mehr als gesehen 100 Millionen Downloads kontaminierter Apps, und Koreas führender App-Store liegt mit ungefähr gleich dahinter 8 Millionen Installationen.