Novi malver u Google Play prodavnici zarazio 60 aplikacija koje su preuzete 100 miliona puta

Mobilni telefoni, 18.04.2023, 08:00 AM

Na desetine aplikacija u Google Play prodavnici zaražene su novim Android malverom pod nazivom “Goldoson”. Tim istraživača iz kompanije McAfee otkrio je u Play prodavnici 60 zaraženih legitimnih aplikacija koje zajedno imaju 100 miliona preuzimanja.

Malver je deo biblioteke treće strane koju koristi svih šezdeset aplikacija a koju su programeri nesvesno dodali svojim aplikacijama.

Neke od zaraženih aplikacija su L.POINT with L.PAY (10 miliona preuzimanja), Swipe Brick Breaker (10 miliona preuzimanja), Money Manager Expense & Budget (10 miliona preuzimanja), GOM Player (5 miliona preuzimanja), LIVE Score, Real-Time Score (5 miliona preuzimanja), Pikicast (5 miliona preuzimanja), Compass 9: Smart Compass (milion preuzimanja), GOM Audio - Music, Sync lyrics (milion preuzimanja), LOTTE WORLD Magicpass (milion preuzimanja), Bounce Brick Breaker (milion preuzimanja), Infinite Slice (milion preuzimanja), SomNote - Beautiful note app (milion preuzimanja) i Korea Subway Info: Metroid (milion preuzimanja).

Goldoson može da prikuplja podatke o instaliranim aplikacijama, uređajima povezanim preko WiFi i Bluetootha i GPS lokaciji korisnika i da izvrši prevaru sa oglasima klikom na oglase u pozadini bez saglasnosti korisnika.

Kada korisnik pokrene aplikaciju koja sadrži Goldoson, malver registruje uređaj i dobija konfiguraciju sa udaljenog servera čiji je domen prikriven. Konfiguracija sadrži parametre za krađu podataka i klikove na oglase.

Funkcija prikupljanja podataka je obično podešena da se aktivira svaka dva dana, tako da malver šalje C2 serveru spisak instaliranih aplikacija, istoriju lokacija, MAC adresu uređaja povezanih preko Bluetootha i WiFi-a i još mnogo toga.

Razmere prikupljanja podataka zavise od dozvola koje su date zaraženoj aplikaciji tokom njene instalacije i verzije Androida. Android 11 i noviji su bolje zaštićeni, međutim, McAfee je otkrio da je čak i sa novijim verzijama operativnog sistema Goldoson imao dovoljno dozvola da prikupi osetljive podatke u 10% aplikacija.

Funkcija koja omogućava klikove na oglase radi tako što se učitava HTML kod i ubacuje u prilagođeni, skriveni WebView, a zatim se koristi za više poseta URL-u i klikove na oglase od kojih zarađuju autori malvera. Žrtva naravno ne vidi nikakve znakove ove aktivnosti na svom uređaju.

Istraživački tim kompanije McAfee, koja je član Alijanse Google App Defense koji pomaže da Google Play bude zaštićen od malvera i adwarea, obavestio je Google o svojim nalazima, a programeri zaraženih aplikacija su upozoreni. Mnoge od zaraženih aplikacija su očišćene od malvera, a one čiji programeri nisu odgovorili na vreme, uklonjene su sa Google Play zbog kršenja smernica prodavnice.

Korisnici koji su instalirali zaražene aplikacije sa Google Play mogu da otklone rizik primenom najnovijeg dostupnog ažuriranja.

Međutim, Goldoson je i dalje prisutan u nezvaničnim prodavnicama Android aplikacija.

Uobičajeni znaci zaraze adwareom i malverom su zagrevanje uređaja, brzo pražnjenje baterije i neuobičajeno visoka potrošnja internet podataka čak i kada se uređaj ne koristi.

Naslovna fotografija: Denny Müller / Unsplash