'Goldoson' adlı yeni bir Android kötü amaçlı yazılım, Google Play'e toplu olarak 100 milyon indirme olan 60 meşru uygulama aracılığıyla sızdı.
Kötü niyetli kötü amaçlı yazılım bileşeni, geliştiricilerin bilmeden uygulamalarına ekledikleri altmış uygulamanın tamamı tarafından kullanılan üçüncü taraf bir kütüphanenin bir parçasıdır.
Etkilenen uygulamalardan bazıları:
Goldoson'u keşfeden McAfee'nin araştırma ekibine göre, kötü amaçlı yazılım yüklü uygulamalar, WiFi ve Bluetooth bağlantılı cihazlar ve kullanıcının GPS konumları hakkında veri toplayabilir.
Ayrıca, kullanıcının rızası olmadan arka plandaki reklamları tıklayarak reklam sahtekarlığı yapabilir.
Kullanıcı Goldoson içeren bir uygulama başlattığında, kütüphane cihazı kaydeder ve yapılandırmasını alanı gizlenmiş olan uzak bir sunucudan alır.
Yapılandırma, Goldoson'un hangi veri çalma ve reklam tıklatma işlevlerini enfekte olmuş cihazda çalıştırması ve ne sıklıkla çalıştırması gerektiğini ayarlayan parametreler içerir.
Veri toplama işlevi genellikle her iki günde bir etkinleştirilecek şekilde ayarlanır, C2 sunucusuna yüklü uygulamaların bir listesi, coğrafi konum geçmişi, Bluetooth ve WiFi'ye bağlı cihazların MAC adresi ve daha fazlası.
Veri toplama düzeyi, kurulumu ve Android sürümü sırasında enfekte olmuş uygulamaya verilen izinlere bağlıdır. Android 11 ve üstü keyfi veri toplamaya karşı daha iyi korunmaktadır; Bununla birlikte, McAfee, işletim sisteminin son sürümlerinde bile Goldoson'un uygulamaların% 10'unda hassas veri toplamak için yeterli izinlere sahip olduğunu buldu.
Reklam tıklatma işlevi, HTML kodunu yükleyerek ve özelleştirilmiş, gizli bir webView'a enjekte ederek ve daha sonra bunu birden fazla URL ziyareti gerçekleştirmek için reklam geliri elde ederek gerçekleşir.
Mağdur, bu etkinliğin cihazlarında herhangi bir göstergesi görmüyor.
McAfee, Google Play'i kötü amaçlı yazılım/reklam yazılımı tehditlerinden temiz tutmaya yardımcı olan bir Google App Savunma İttifak üyesidir. Bu nedenle, araştırmacılar Google'a bulguları hakkında bilgi verdiler ve etkilenen uygulamaların geliştiricileri buna göre uyarıldı.
Etkilenen uygulamaların çoğu, rahatsız edici kütüphaneyi kaldıran geliştiricileri tarafından temizlendi ve zaman içinde yanıt vermeyenler, mağazanın politikalarına uymamak için uygulamalarını Google Play'den kaldırdı.
Google, uygulamaların Google Play politikalarını ihlal ettiğini belirterek BleepingComputer'ın eylemini doğruladı.
Google, BleepingComputer'a verdiği demeçte, "Kullanıcıların ve geliştiricilerin güvenliği Google Play'in özünde. Politikalarımızı ihlal eden uygulamalar bulduğumuzda, uygun önlemleri alıyoruz."
"Geliştiricilere, uygulamalarının Google Play politikalarını ihlal ettiğini ve uygunluğa girmek için düzeltmelerin gerekli olduğunu bildirdik."
Google Play'den etkilenmiş bir uygulama yükleyen kullanıcılar, mevcut en son güncellemeyi uygulayarak riski giderebilir.
Bununla birlikte, Goldoson üçüncü taraf Android uygulama mağazalarında da var ve hala kötü amaçlı kütüphaneyi barındıranların şansı yüksek.
Adware ve kötü amaçlı yazılım enfeksiyonunun yaygın belirtileri arasında cihaz ısıtma, pilin hızla boşaltılması ve cihaz kullanılmadığında bile alışılmadık derecede yüksek internet veri kullanımı bulunur.
Yeni bukalemun android kötü amaçlı yazılım bankası, govt ve kripto uygulamaları
1M yüklemeli Kyocera Android uygulaması, kötü amaçlı yazılımları bırakmak için istismar edilebilir
Siber suçlular, google Play'e Android kötü amaçlı yazılım eklemek için 5 bin dolar şarj
Fakealls Android kötü amaçlı yazılım, telefonlarda gizlenmenin yeni yollarıyla döner
Xenomorph Android kötü amaçlı yazılım artık 400 bankadan veri çalıyor
Kaynak: Bleeping Computer