L'app dannosa Goldoson è stata scaricata più di 100 milioni di volte dal Play Store di Google, causando un'epidemia di malware basata su Android.
I ricercatori di sicurezza informatica hanno recentemente identificato un ceppo Android dannoso chiamato Goldoson, che si è infiltrato più di 60 applicazioni sul Google Play Store ufficiale. Le app sono state scaricate in modo sbalorditivo 100 milione di volte.
Lo stesso malware è stato scaricato altri otto milioni di volte tramite UN negozio, un popolare fornitore di app di terze parti in Corea del Sud. Goldoson ha la capacità di raccogliere dati dalle app installate, Gadget connessi tramite Wi-Fi e Bluetooth, e posizioni GPS.
Come è stato scoperto Goldoson?
Il Mobile Research Team di McAfee ha identificato una libreria software, di nome Goldson, che raccoglie gli elenchi delle applicazioni installate, così come una cronologia dei dati dei dispositivi Wi-Fi e Bluetooth, comprensivo di posizioni GPS nelle vicinanze. Inoltre, la biblioteca ha la capacità di avviare frodi pubblicitarie facendo clic sugli annunci in background senza il consenso dell'utente.
Il gruppo di ricerca scoperto più di 60 app con questa libreria dannosa di terze parti, con un totale di 100 milioni di download sui mercati di download di app ONE Store e Google Play in Corea del Sud. Sebbene la libreria dannosa sia stata creata da una parte esterna, non gli sviluppatori di app, il rischio per chi ha installato le app rimane.
In che modo Goldoson infetta gli utenti Android?
La libreria Goldoson registra contemporaneamente il dispositivo e ottiene le configurazioni remote all'avvio dell'app. Il nome della libreria e il dominio del server remoto variano per ogni app, ed è crittografato. Il soprannome “Goldson” è derivato dal primo nome di dominio scoperto, Il team di McAfee ha detto.
La configurazione remota contiene i dettagli per ciascuna funzione e la frequenza dei componenti. La libreria disegna le informazioni sul dispositivo in base ai parametri, quindi lo trasmette a un server remoto. Tag come 'ads_enable’ e 'collect_enable’ segnalare al sistema quali funzioni attivare o disattivare, con ulteriori parametri che dettano condizioni e disponibilità.
La libreria ha la capacità di caricare pagine web all'insaputa dell'utente, che può essere utilizzato per ottenere guadagni finanziari visualizzando annunci. Funziona iniettando codice HTML in una WebView discreta e visitando in modo ricorsivo gli URL, creando così traffico nascosto.
Google Play ha visto più di 100 milioni di download di app contaminate, e il principale app store della Corea non è molto indietro con circa 8 milioni di installazioni.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: