De kwaadaardige Goldoson-app werd meer dan gedownload 100 miljoen keer van de Google Play Store, het veroorzaken van een op Android gebaseerde malware-uitbraak.
Onderzoekers op het gebied van cyberbeveiliging hebben onlangs een kwaadaardige Android-stam genaamd Goldoson geïdentificeerd, die meer dan is geïnfiltreerd 60 applicaties in de officiële Google Play Store. De apps zijn razendsnel gedownload 100 miljoen keer.
Dezelfde malware is nog eens acht miljoen keer gedownload via ONE store, een populaire app-provider van derden in Zuid-Korea. Goldoson heeft de capaciteit om gegevens van geïnstalleerde apps te verzamelen, Wi-Fi en Bluetooth-verbonden gadgets, en GPS-locaties.
Hoe werd Goldoson ontdekt?
Het Mobile Research Team van McAfee heeft een softwarebibliotheek geïdentificeerd, Goldoson genoemd, die lijsten met geïnstalleerde applicaties verzamelt, evenals een geschiedenis van Wi-Fi- en Bluetooth-apparaatgegevens, inclusief GPS-locaties in de buurt. Bovendien, de bibliotheek heeft de mogelijkheid om advertentiefraude te initiëren door op de achtergrond op advertenties te klikken zonder toestemming van de gebruiker.
Het onderzoeksteam onbedekt meer dan 60 apps met deze kwaadaardige bibliotheek van derden, in totaal 100 miljoen downloads in de ONE Store en Google Play-app-downloadmarkten in Zuid-Korea. Hoewel de kwaadaardige bibliotheek is gemaakt door een externe partij, niet de app-ontwikkelaars, het risico voor degenen die de apps hebben geïnstalleerd, blijft bestaan.
Hoe infecteert Goldoson Android-gebruikers?
De Goldoson-bibliotheek registreert tegelijkertijd het apparaat en verkrijgt configuraties op afstand wanneer de app wordt gestart. De naam van de bibliotheek en het domein van de externe server fluctueren voor elke app, en is versleuteld. De bijnaam “Goldoson” is afgeleid van de eerst ontdekte domeinnaam, aldus het team van McAfee.
De configuratie op afstand bevat details voor elke functie en de frequentie van de componenten. De bibliotheek tekent de apparaatinformatie op basis van de parameters, verzendt het vervolgens naar een externe server. Tags zoals 'ads_enable’ en 'collect_enable’ signaal aan het systeem welke functies geactiveerd of gedeactiveerd moeten worden, met verdere parameters die voorwaarden en beschikbaarheid dicteren.
De bibliotheek heeft de capaciteit om webpagina's te laden zonder medeweten van de gebruiker, die kunnen worden gebruikt om financieel gewin te behalen door advertenties weer te geven. Het werkt door HTML-code in een discrete WebView te injecteren en recursief URL's te bezoeken, waardoor verborgen verkeer ontstaat.
Google Play heeft meer gezien dan 100 miljoen downloads van besmette apps, en de belangrijkste app store van Korea loopt niet ver achter met ongeveer 8 miljoen installaties.