L'application malveillante Goldoson a été téléchargée plus de 100 des millions de fois depuis le Google Play Store, provoquant une épidémie de logiciels malveillants basés sur Android.
Des chercheurs en cybersécurité ont récemment identifié une souche Android malveillante appelée Goldoson, qui a infiltré plus de 60 applications sur le Google Play Store officiel. Les applications ont été téléchargées de manière stupéfiante 100 million de fois.
Le même logiciel malveillant a été téléchargé huit millions de fois supplémentaires via ONE store, un fournisseur d'applications tiers populaire en Corée du Sud. Goldoson a la capacité de récolter des données à partir d'applications installées, Gadgets connectés en Wi-Fi et Bluetooth, et localisations GPS.
Comment Goldoson a-t-il été découvert?
L'équipe de recherche mobile de McAfee a identifié une bibliothèque de logiciels, nommé Goldoson, qui regroupe les listes des applications installées, ainsi qu'un historique des données des appareils Wi-Fi et Bluetooth, y compris les emplacements GPS à proximité. En outre, la bibliothèque a la capacité d'initier une fraude publicitaire en cliquant sur des publicités en arrière-plan sans le consentement de l'utilisateur.
L'équipe de recherche découvert plus que 60 applications avec cette bibliothèque malveillante tierce, avec un total de 100 millions de téléchargements sur le ONE store et les marchés de téléchargement d'applications Google Play en Corée du Sud. Bien que la bibliothèque malveillante ait été créée par un tiers externe, pas les développeurs d'applications, le risque pour ceux qui ont installé les applications demeure.
Comment Goldoson infecte-t-il les utilisateurs d'Android?
La bibliothèque Goldoson enregistre simultanément l'appareil et obtient les configurations à distance au lancement de l'application. Le nom de la bibliothèque et le domaine du serveur distant fluctuent pour chaque application, et est crypté. Le surnom “Goldoson” est dérivé du premier nom de domaine découvert, L'équipe de McAfee a déclaré.
La configuration à distance contient des détails pour chaque fonctionnalité et la fréquence des composants. La bibliothèque dessine les informations sur l'appareil en fonction des paramètres, puis le transmet à un serveur distant. Des tags comme 'ads_enable’ et 'collect_enable’ signal au système qui fonctionne pour activer ou désactiver, avec d'autres paramètres dictant les conditions et la disponibilité.
La bibliothèque a la capacité de charger des pages Web à l'insu de l'utilisateur, qui peut être utilisé pour générer un gain financier en affichant des publicités. Il fonctionne en injectant du code HTML dans une WebView discrète et en visitant récursivement des URL, créant ainsi du trafic caché.
Google Play a vu plus de 100 millions de téléchargements d'applications contaminées, et le premier magasin d'applications de Corée n'est pas loin derrière avec environ 8 millions d'installations.