Novi malver u Google Play prodavnici zarazio 60 aplikacija koje su preuzete 100 miliona puta

Mobilni telefoni, 18.04.2023, 08:00 AM

Novi malver u Google Play prodavnici zarazio 60 aplikacija koje su preuzete 100 miliona puta

Na desetine aplikacija u Google Play prodavnici zaražene su novim Android malverom pod nazivom “Goldoson”. Tim istraživača iz kompanije McAfee otkrio je u Play prodavnici 60 zaraženih legitimnih aplikacija koje zajedno imaju 100 miliona preuzimanja.

Malver je deo biblioteke treće strane koju koristi svih šezdeset aplikacija a koju su programeri nesvesno dodali svojim aplikacijama.

Neke od zaraženih aplikacija su L.POINT with L.PAY (10 miliona preuzimanja), Swipe Brick Breaker (10 miliona preuzimanja), Money Manager Expense & Budget (10 miliona preuzimanja), GOM Player (5 miliona preuzimanja), LIVE Score, Real-Time Score (5 miliona preuzimanja), Pikicast (5 miliona preuzimanja), Compass 9: Smart Compass (milion preuzimanja), GOM Audio - Music, Sync lyrics (milion preuzimanja), LOTTE WORLD Magicpass (milion preuzimanja), Bounce Brick Breaker (milion preuzimanja), Infinite Slice (milion preuzimanja), SomNote - Beautiful note app (milion preuzimanja) i Korea Subway Info: Metroid (milion preuzimanja).

Goldoson može da prikuplja podatke o instaliranim aplikacijama, uređajima povezanim preko WiFi i Bluetootha i GPS lokaciji korisnika i da izvrši prevaru sa oglasima klikom na oglase u pozadini bez saglasnosti korisnika.

Kada korisnik pokrene aplikaciju koja sadrži Goldoson, malver registruje uređaj i dobija konfiguraciju sa udaljenog servera čiji je domen prikriven. Konfiguracija sadrži parametre za krađu podataka i klikove na oglase.

Funkcija prikupljanja podataka je obično podešena da se aktivira svaka dva dana, tako da malver šalje C2 serveru spisak instaliranih aplikacija, istoriju lokacija, MAC adresu uređaja povezanih preko Bluetootha i WiFi-a i još mnogo toga.

Razmere prikupljanja podataka zavise od dozvola koje su date zaraženoj aplikaciji tokom njene instalacije i verzije Androida. Android 11 i noviji su bolje zaštićeni, međutim, McAfee je otkrio da je čak i sa novijim verzijama operativnog sistema Goldoson imao dovoljno dozvola da prikupi osetljive podatke u 10% aplikacija.

Funkcija koja omogućava klikove na oglase radi tako što se učitava HTML kod i ubacuje u prilagođeni, skriveni WebView, a zatim se koristi za više poseta URL-u i klikove na oglase od kojih zarađuju autori malvera. Žrtva naravno ne vidi nikakve znakove ove aktivnosti na svom uređaju.

Istraživački tim kompanije McAfee, koja je član Alijanse Google App Defense koji pomaže da Google Play bude zaštićen od malvera i adwarea, obavestio je Google o svojim nalazima, a programeri zaraženih aplikacija su upozoreni. Mnoge od zaraženih aplikacija su očišćene od malvera, a one čiji programeri nisu odgovorili na vreme, uklonjene su sa Google Play zbog kršenja smernica prodavnice.

Korisnici koji su instalirali zaražene aplikacije sa Google Play mogu da otklone rizik primenom najnovijeg dostupnog ažuriranja.

Međutim, Goldoson je i dalje prisutan u nezvaničnim prodavnicama Android aplikacija.

Uobičajeni znaci zaraze adwareom i malverom su zagrevanje uređaja, brzo pražnjenje baterije i neuobičajeno visoka potrošnja internet podataka čak i kada se uređaj ne koristi.

Naslovna fotografija: Denny Müller / Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Stručnjaci upozoravaju na dramatičan porast napada malvera na mobilne uređaje

Izveštaj kompanije Kaspersky predstavljen na Svetskom kongresu mobilnih tehnologija u Barseloni, otkrio je eskalaciju rizika sa kojima se korisnici m... Dalje

Trojanac Anatsa ponovo pronađen u aplikacijama na Google Play

Trojanac Anatsa ponovo pronađen u aplikacijama na Google Play

Istraživači iz firme ThreatFabric primetili su na Google Play pet aplikacija koje je preuzelo više od 150.000 korisnika koji su na taj način infic... Dalje

Android malver XLoader se širi preko SMS poruka

Android malver XLoader se širi preko SMS poruka

Istraživači iz kompanije McAfee otkrili su novu verziju Android malvera XLoader koji se širi uglavnom putem SMS poruka koje sadrže skraćeni URL k... Dalje

Lažna verzija popularne aplikacije LastPass u Apple App Storeu

Lažna verzija popularne aplikacije LastPass u Apple App Storeu

U Apple App Storeu pojavila se lažna aplikacija LassPass za koju se pretpostavlja da se koristi kao aplikacija za krađu lozinki korisnika. Kompanija... Dalje

Google će blokirati instaliranje aplikacija iz spoljnih izvora koje zahtevaju rizične dozvole

Google će blokirati instaliranje aplikacija iz spoljnih izvora koje zahtevaju rizične dozvole

Google pokreće pilot program za borbu protiv finansijskih prevara blokiranjem bočnog učitavanja Android APK fajlova koji zahtevaju pristup rizični... Dalje