Novi malware za Android nazvan Goldoson infiltrirao se u Google Play putem 60 legitimnih aplikacija koje zajedno imaju oko 100 milijuna preuzimanja. Komponenta zlonamjernog softvera dio je biblioteke treće strane koju koristi svih šezdeset aplikacija što su ih programeri nesvjesno dodali svojim aplikacijama.

Prema McAfeejevom istraživačkom timu koji je otkrio Goldoson, zlonamjerni softver može prikupljati podatke o instaliranim aplikacijama, povezanim WiFi i Bluetooth uređajima, te na koncu - korisnikovu GPS lokaciju. Malware može također izvesti prijevaru s oglasima klikanjem na one u pozadini bez pristanka korisnika.

Krađa podataka s Androida

Kada korisnik pokrene aplikaciju koja sadrži Goldoson, biblioteka registrira uređaj i prima njegovu konfiguraciju od udaljenog poslužitelja, čija je domena maskirana. Konfiguracija sadrži parametre koji određuju koje funkcije krađe podataka i klikanja na oglase Goldoson treba pokretati.

Funkcija prikupljanja podataka obično je postavljena tako da se aktivira svaka dva dana, šaljući C2 poslužitelju popis instaliranih aplikacija, povijest geografske lokacije te MAC adresu uređaja povezanih putem Bluetootha i WiFi-ja.

Razina prikupljanja podataka ovisi o dopuštenjima dodijeljenima zaraženoj aplikaciji tijekom njezine instalacije, kao i verziji Androida - Android 11 i noviji bolje su zaštićeni od proizvoljnog prikupljanja podataka. McAfee je, međutim, otkrio da čak i u novijim verzijama OS-a Goldoson ima dovoljno dopuštenja za prikupljanje osjetljivih podataka u oko deset posto aplikacija.

Funkcija klikanja na oglas vrši se učitavanjem HTML koda i njegovim ubacivanjem u prilagođeni skriveni WebView. Kod se potom koristi za izvođenje višestrukih posjeta URL-u, generirajući kriminalcima prihod od oglasa, a žrtva za to vrijeme ne vidi nikakve naznake ove aktivnosti.

McAfee je član Google App Defense Alliancea koji pomaže očistiti Google Play od prijetnji zlonamjernim softverom. Istraživači su obavijestili Google o svojim otkrićima, a proizvođači pogođenih aplikacija dobili su upozorenje. Mnoge zahvaćene aplikacije očistili su njihovi programeri te su uklonili problematičnu biblioteku. One čiji proizvođači nisu odgovorili na vrijeme uklonjene su s Google Playa zbog neusklađenosti s pravilima trgovine, piše BleepingComputer.

Google je potvrdio to za BleepingComputer, navodeći da su aplikacije prekršile pravila Google Playa. 'Sigurnost korisnika i programera je srž Google Playa. Kad pronađemo aplikacije koje krše naša pravila, poduzimamo odgovarajuće mjere.' Googleovi predstavnici ističu: 'Obavijestili smo programere da njihove aplikacije krše pravila Google Playa i da su potrebni popravci kako bi bile usklađene.'

Korisnici koji su pogođene aplikacije instalirali na svoj uređaj putem Google Playa rizik mogu otkloniti primjenom najnovijeg dostupnog ažuriranja. Sigurnosni stručnjaci naglašavaju da je problem s Goldosonom to što se zavukao u trgovine aplikacija trećih strana, što znači da one i dalje imaju veliku šansu da sadrže zlonamjerne biblioteke.

Komando savjetuje da izbrišete ove aplikacije ako ih imate:

• L.POINT with L.PAY
• Swipe Brick Breaker
• Money Manager Expense & Budget
• TMAP
• GOM Player
• Megabox
• LIVE Score, Real-Time Score
• Pikicast
• Compass 9: Smart Compass
• GOM Audio – Music, Sync lyrics
• TV – All About Video
• LOTTE WORLD Magicpass
• Bounce Brick Breaker
• Infinite Slice
• SomNote – Beautiful note app
• Korea Subway Info: Metroid
• GOODTV
• UBhind: Mobile Tracker Manager
• Snake Ball Lover
• Money Manager (Remove Ads)
• Inssaticon – Cute Emoticons, K
• T map for KT, LGU+
• GOM Audio Plus – Music, Sync l
• Swipe Brick Breaker 2
• TNT
• InfinitySolitaire
• TDI News
• TingSearch
• Fantastic

Uobičajeni znakovi zaraze adwareom i zlonamjernim softverom uključuju zagrijavanje uređaja, brzo pražnjenje baterije i neuobičajeno visoku potrošnju internetskih podataka čak i kada se uređaj ne koristi.