Chamado de ‘Goldoson’, esse malware para Android se infiltrou em 60 aplicativos da Google Play que, juntos, têm 100 milhões de downloads.
Sim. Um novo malware para Android chamado ‘Goldoson’ se infiltrou no Google Play por meio de 60 aplicativos legítimos que, juntos, têm 100 milhões de downloads.
Malware para Android se infiltrou em 60 aplicativos da Google Play
O componente de malware malicioso faz parte de uma biblioteca de terceiros usada por todos os sessenta aplicativos que os desenvolvedores adicionaram inadvertidamente a seus aplicativos.
Alguns dos aplicativos afetados são:
- L.POINT with L.PAY – 10 million downloads
- Swipe Brick Breaker – 10 million downloads
- Money Manager Expense & Budget – 10 million downloads
- GOM Player – 5 million downloads
- LIVE Score, Real-Time Score – 5 million downloads
- Pikicast – 5 million downloads
- Compass 9: Smart Compass – 1 million downloads
- GOM Audio – Music, Sync lyrics – 1 million downloads
- LOTTE WORLD Magicpass – 1 million downloads
- Bounce Brick Breaker – 1 million downloads
- Infinite Slice – 1 million downloads
- SomNote – Beautiful note app – 1 million downloads
- Korea Subway Info: Metroid – 1 million downloads
De acordo com a equipe de pesquisa da McAfee, que descobriu o Goldoson, o malware pode coletar dados em aplicativos instalados, dispositivos conectados por Wi-Fi e Bluetooth e as localizações de GPS do usuário.
Além disso, pode cometer fraudes publicitárias ao clicar em anúncios em segundo plano sem o consentimento do usuário.
Quando o usuário inicia um aplicativo que contém o Goldoson, a biblioteca registra o dispositivo e recebe sua configuração de um servidor remoto cujo domínio é ofuscado.
A configuração contém parâmetros que definem quais funções de roubo de dados e cliques em anúncios que o Goldoson deve executar no dispositivo infectado e com que frequência.
A função de coleta de dados é normalmente configurada para ativar a cada dois dias, enviando ao servidor C2 uma lista de aplicativos instalados, histórico de localização geográfica, endereço MAC de dispositivos conectados por Bluetooth e WiFi e muito mais.
O nível de coleta de dados depende das permissões concedidas ao aplicativo infectado durante sua instalação e da versão do Android.
O Android 11 e superior estão mais protegidos contra a coleta arbitrária de dados; no entanto, a McAfee descobriu que, mesmo em versões recentes do sistema operacional, Goldoson tinha permissões suficientes para coletar dados confidenciais em 10% dos aplicativos.
A função de clicar no anúncio ocorre carregando o código HTML e injetando-o em um WebView oculto personalizado e, em seguida, usando-o para realizar várias visitas de URL, gerando receita de anúncios.
A vítima não vê nenhuma indicação dessa atividade em seu dispositivo.
A McAfee é um membro da Google App Defense Alliance que ajuda a manter o Google Play livre de ameaças de malware/adware. Como tal, os pesquisadores informaram o Google sobre suas descobertas e os desenvolvedores dos aplicativos afetados foram alertados de acordo.
Muitos dos aplicativos afetados foram limpos por seus desenvolvedores, que removeram a biblioteca ofensiva, e aqueles que não responderam a tempo tiveram seus aplicativos removidos do Google Play por não conformidade com as políticas da loja.
O Google confirmou a ação ao BleepingComputer, afirmando que os aplicativos violavam as políticas do Google Play.
“A segurança dos usuários e desenvolvedores está no centro do Google Play. Quando encontramos aplicativos que violam nossas políticas, tomamos as medidas apropriadas”, disse o Google ao BleepingComputer.
“Notificamos os desenvolvedores de que seus aplicativos violam as políticas do Google Play e são necessárias correções para entrar em conformidade.”
Os usuários que instalaram um aplicativo afetado do Google Play podem corrigir o risco aplicando a atualização mais recente disponível.
No entanto, o Goldoson também existe em lojas de aplicativos Android de terceiros, e as chances de aqueles que ainda abrigam a biblioteca maliciosa são altas.
Sinais comuns de infecção por adware e malware incluem aquecimento do dispositivo, esgotamento rápido da bateria e uso de dados de Internet excepcionalmente alto, mesmo quando o dispositivo não está em uso.