Novi malver u Google Play prodavnici zarazio 60 aplikacija koje su preuzete 100 miliona puta

Mobilni telefoni, 18.04.2023, 08:00 AM

Novi malver u Google Play prodavnici zarazio 60 aplikacija koje su preuzete 100 miliona puta

Na desetine aplikacija u Google Play prodavnici zaražene su novim Android malverom pod nazivom “Goldoson”. Tim istraživača iz kompanije McAfee otkrio je u Play prodavnici 60 zaraženih legitimnih aplikacija koje zajedno imaju 100 miliona preuzimanja.

Malver je deo biblioteke treće strane koju koristi svih šezdeset aplikacija a koju su programeri nesvesno dodali svojim aplikacijama.

Neke od zaraženih aplikacija su L.POINT with L.PAY (10 miliona preuzimanja), Swipe Brick Breaker (10 miliona preuzimanja), Money Manager Expense & Budget (10 miliona preuzimanja), GOM Player (5 miliona preuzimanja), LIVE Score, Real-Time Score (5 miliona preuzimanja), Pikicast (5 miliona preuzimanja), Compass 9: Smart Compass (milion preuzimanja), GOM Audio - Music, Sync lyrics (milion preuzimanja), LOTTE WORLD Magicpass (milion preuzimanja), Bounce Brick Breaker (milion preuzimanja), Infinite Slice (milion preuzimanja), SomNote - Beautiful note app (milion preuzimanja) i Korea Subway Info: Metroid (milion preuzimanja).

Goldoson može da prikuplja podatke o instaliranim aplikacijama, uređajima povezanim preko WiFi i Bluetootha i GPS lokaciji korisnika i da izvrši prevaru sa oglasima klikom na oglase u pozadini bez saglasnosti korisnika.

Kada korisnik pokrene aplikaciju koja sadrži Goldoson, malver registruje uređaj i dobija konfiguraciju sa udaljenog servera čiji je domen prikriven. Konfiguracija sadrži parametre za krađu podataka i klikove na oglase.

Funkcija prikupljanja podataka je obično podešena da se aktivira svaka dva dana, tako da malver šalje C2 serveru spisak instaliranih aplikacija, istoriju lokacija, MAC adresu uređaja povezanih preko Bluetootha i WiFi-a i još mnogo toga.

Razmere prikupljanja podataka zavise od dozvola koje su date zaraženoj aplikaciji tokom njene instalacije i verzije Androida. Android 11 i noviji su bolje zaštićeni, međutim, McAfee je otkrio da je čak i sa novijim verzijama operativnog sistema Goldoson imao dovoljno dozvola da prikupi osetljive podatke u 10% aplikacija.

Funkcija koja omogućava klikove na oglase radi tako što se učitava HTML kod i ubacuje u prilagođeni, skriveni WebView, a zatim se koristi za više poseta URL-u i klikove na oglase od kojih zarađuju autori malvera. Žrtva naravno ne vidi nikakve znakove ove aktivnosti na svom uređaju.

Istraživački tim kompanije McAfee, koja je član Alijanse Google App Defense koji pomaže da Google Play bude zaštićen od malvera i adwarea, obavestio je Google o svojim nalazima, a programeri zaraženih aplikacija su upozoreni. Mnoge od zaraženih aplikacija su očišćene od malvera, a one čiji programeri nisu odgovorili na vreme, uklonjene su sa Google Play zbog kršenja smernica prodavnice.

Korisnici koji su instalirali zaražene aplikacije sa Google Play mogu da otklone rizik primenom najnovijeg dostupnog ažuriranja.

Međutim, Goldoson je i dalje prisutan u nezvaničnim prodavnicama Android aplikacija.

Uobičajeni znaci zaraze adwareom i malverom su zagrevanje uređaja, brzo pražnjenje baterije i neuobičajeno visoka potrošnja internet podataka čak i kada se uređaj ne koristi.

Naslovna fotografija: Denny Müller / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

U Apple App Store pronađene aplikacije zaražene malverom koji čita tekst sa slika

U Apple App Store pronađene aplikacije zaražene malverom koji čita tekst sa slika

U više iOS aplikacija pronađen je malver „SparkCat“ koji krade kriptovalute, objavila je kompanija Kaspersky. U martu prošle godine, is... Dalje

Kripto prevare u MMS porukama

Kripto prevare u MMS porukama

Stručnjaci za sajber bezbednost iz Proofpointa upozorili su na prevarante koji zloupotrebljavaju MMS poruke (Multimedia Messaging Service) za Bitcoin... Dalje

Google prošle godine blokirao objavljivanje 2,3 miliona potencijalno opasnih aplikacija u Google Play prodavnici

Google prošle godine blokirao objavljivanje 2,3 miliona potencijalno opasnih aplikacija u Google Play prodavnici

Google je prošle godine zbog kršenja smernica i potencijalnog rizika za korisnike blokirao 2,3 miliona Android aplikacija u u zvaničnoj Android pro... Dalje

Google će sada automatski uklanjati dozvole za štetne aplikacije na Android uređajima

Google će sada automatski uklanjati dozvole za  štetne aplikacije na Android uređajima

Googleova usluga skeniranja malvera Play Protect će sada automatski isključiti dozvole za Android aplikaciju ako je potencijalno štetna. Ova funkc... Dalje

Provera identiteta - nova funkcija Androida za zaštitu od krađe

Provera identiteta - nova funkcija Androida za zaštitu od krađe

Google uvodi novu funkciju pod nazivom Identity Check (Provera identiteta) za podržane Android uređaje koja zaključava osetljiva podešavanja iza b... Dalje