La aplicación maliciosa Goldoson se descargó más de 100 millones de veces desde el Google Play Store, causando un brote de malware basado en Android.
Investigadores de ciberseguridad identificaron recientemente una cepa maliciosa de Android llamada Goldoson, que se ha infiltrado en más de 60 aplicaciones en la tienda oficial de Google Play. Las aplicaciones se han descargado la asombrosa 100 millones de veces.
El mismo malware se ha descargado ocho millones de veces más a través de UNA tienda, un popular proveedor de aplicaciones de terceros en Corea del Sur. Goldoson tiene la capacidad de recolectar datos de aplicaciones instaladas, Dispositivos conectados a Wi-Fi y Bluetooth, y ubicaciones GPS.
¿Cómo se descubrió Goldoson??
El equipo de investigación móvil de McAfee identificó una biblioteca de software, llamado Goldoson, que recopila listas de aplicaciones instaladas, así como un historial de datos de dispositivos Wi-Fi y Bluetooth, incluye ubicaciones GPS cercanas. Además, la biblioteca tiene la capacidad de iniciar el fraude publicitario al hacer clic en los anuncios en segundo plano sin el consentimiento del usuario.
el equipo de investigación descubierto más que 60 aplicaciones con esta biblioteca maliciosa de terceros, con un total de 100 millones de descargas en la tienda ONE y los mercados de descarga de la aplicación Google Play en Corea del Sur. Aunque la biblioteca maliciosa fue creada por una parte externa, no los desarrolladores de aplicaciones, el riesgo para aquellos que han instalado las aplicaciones permanece.
¿Cómo infecta Goldoson a los usuarios de Android??
La biblioteca Goldoson registra simultáneamente el dispositivo y obtiene configuraciones remotas cuando se inicia la aplicación. El nombre de la biblioteca y el dominio del servidor remoto fluctúan para cada aplicación, y esta encriptado. el apodo “oroson” se deriva del primer nombre de dominio descubierto, El equipo de McAfee dijo.
La configuración remota contiene detalles para cada función y la frecuencia de los componentes.. La biblioteca extrae la información del dispositivo en función de los parámetros., luego lo transmite a un servidor remoto. Etiquetas como 'ads_enable'’ y 'recoger_habilitar’ señal al sistema que funciona para activar o desactivar, con otros parámetros que dictan las condiciones y la disponibilidad.
La biblioteca tiene la capacidad de cargar páginas web sin el conocimiento del usuario, que se puede utilizar para generar ganancias financieras al mostrar anuncios. Funciona inyectando código HTML en un WebView discreto y visitando URL recursivamente, creando así tráfico oculto.
Google Play ha visto más de 100 millones de descargas de aplicaciones contaminadas, y la principal tienda de aplicaciones de Corea no se queda atrás con aproximadamente 8 millones de instalaciones.