Аналитики McAfee обнаружили в 60 приложениях из магазина Google Play малварь Goldoson, которая проникла в их код через стороннюю библиотеку. Суммарно эти приложениях насчитывают более 100 млн загрузок.

Среди пострадавших приложений, в основном направленных на южнокорейскую аудиторию, были:

  • POINT with L.PAY (10 млн скачиваний);
  • Swipe Brick Breaker (10 млн скачиваний);
  • Money Manager Expense & Budget (10 млн скачиваний);
  • GOM Player (5 млн скачиваний);
  • LIVE Score, Real-Time Score (5 млн скачиваний);
  • Pikicast (5 млн скачиваний);
  • Compass 9: Smart Compass (1 млн скачиваний);
  • GOM Audio — Music, Sync lyrics (1 млн скачиваний);
  • LOTTE WORLD Magicpass (1 млн скачиваний);
  • Bounce Brick Breaker (1 млн скачиваний);
  • Infinite Slice (1 млн скачиваний);
  • SomNote — Beautiful note app (1 млн скачиваний);
  • Korea Subway Info: Metroid (1 млн скачиваний).

Исследователи пишут, что Goldoson способен собирать данные об установленных на зараженном устройстве приложениях, устройствах, подключенных к Wi-Fi и Bluetooth, а также данные о местоположении пользователя (GPS). Кроме того, вредонос может заниматься мошенничеством с рекламой, «кликая» на рекламу в фоновом режиме без ведома жертвы.

Когда пользователь запускает приложение, зараженное Goldoson, библиотека регистрирует новое устройство и получает конфигурацию с удаленного сервера, домен которого замаскирован. Конфигурация содержит параметры, определяющие, какие функции для кражи данных и «кликов» по рекламе должны запускаться и как часто.

Функция сбора данных обычно активируется каждые два дня, отправляя операторам малвари историю местоположений, MAC-адреса устройств, подключенных через Bluetooth и WiFi, и многое другое.

Какие именно данные будут собраны, зависит от разрешений, предоставленных зараженному приложению при установке. Пользователи Android 11 защищены лучше других, хотя эксперты обнаружили, что даже в последних версиях ОС у Goldoson есть достаточно разрешений для сбора конфиденциальных данных примерно в 10% приложений.

«Кликание» по рекламе осуществляется путем загрузки HTML-кода и внедрения его в скрытый кастомный WebView, с последующим переходом по URL-адресам, генерирующим доход от рекламы. Разумеется, жертва не видит никаких признаков этой активности на своем устройстве.

Сообщается, что в настоящее время многие их пострадавших приложений уже «очищены» от Goldoson разработчиками, которых предупредили о проблеме, после чего вредоносная библиотека Goldoson была удалена. Однако другие разработчики не отреагировали вовремя, в результате их приложения удалили из Google Play.

Источник: xakep