Google stosuje wiele zabezpieczeń swojego sklepu z aplikacjami, jednak przestępcy mają wiele sposobów, aby przemycić malware, czyli soft zawierający złośliwy kod. Najnowsze odkrycie, opisane na blogu McAfee, dotyczy 60 aplikacji, które zawierały kod do gromadzenia poufnych aplikacji i przeprowadzania oszustw reklamowych. Kod ten krył się w bibliotece oprogramowania firmy o nazwie Goldoson, a programiści, którzy jej używali, nie zdawali sobie sprawy, że dodawali do swoich programów malware.
Jak działał Goldoson?
Według analizy po zainstalowaniu Goldoson mógł zbierać dane o aplikacjach zainstalowanych na urządzeniu, historię urządzeń podłączonych przez Wi-Fi i Bluetooth oraz lokalizacje GPS. Oprócz tego, że kradło dane, złośliwe oprogramowanie mogło wywołać klikanie w reklamy w tle bez zgody użytkownika. Osiągało to poprzez załadowanie kodu HTML przez bibliotekę i wstrzyknięcie go do dostosowanego, ukrytego WebView, używając go do odwiedzania wielu adresów URL w celu generowania przychodów z reklam – a wszystko to bez świadomości użytkownika, co się dzieje.
Po zainstalowaniu aplikacji korzystającej z Goldoson biblioteka rejestrowała urządzenie i otrzymywała jego zdalną konfigurację w tym samym czasie, gdy aplikacja była uruchomiona. Nawet w najnowszej wersji systemu operacyjnego, mimo zwiększonych zabezpieczeń, malware zawierający biblioteki Goldoson był w stanie zebrać poufne informacje dotyczące około 10% zainstalowanych aplikacji. Warto dodać, że ilość gromadzonych danych zależała od tego, ile uprawnień użytkownik przyznał aplikacji podczas procesu instalacji.
Które aplikacje były zainfekowane?
Plus jest taki, że raczej żadnej z tych aplikacji nie zdążyliście zainstalować. W większości był one skierowane na rynek koreański. Zostały już albo usunięte z Google Play, albo zaktualizowane przez twórców (tj. usunięto złośliwy kod). Niemniej zostały one pobrane ponad 100 milionów razy za pośrednictwem sklepu Google, podczas gdy około 8 milionów pobrań pochodziło z serwisu ONE, popularnego sklepu z aplikacjami w Korei.
Oto lista zainfekowanych aplikacji:
Nazwa pakietu | Nazwa aplikacji | Pobrania z GooglePlay | Status |
com.lottemembers.android | L.POINT with L.PAY | 10M+ | Zaktualizowana |
com.Monthly23.SwipeBrickBreaker | Swipe Brick Breaker | 10M+ | Usunięta |
com.realbyteapps.moneymanagerfree | Money Manager Expense & Budget | 10M+ | Zaktualizowana |
com.skt.tmap.ku | TMAP | 10M+ | Zaktualizowana |
kr.co.lottecinema.lcm | 롯데시네마 | 10M+ | Zaktualizowana |
com.ktmusic.geniemusic | 지니뮤직 – genie | 10M+ | Zaktualizowana |
com.cultureland.ver2 | 컬쳐랜드[컬쳐캐쉬] | 5M+ | Zaktualizowana |
com.gretech.gomplayerko | GOM Player | 5M+ | Zaktualizowana |
com.megabox.mop | Megabox | 5M+ | Usunięta |
kr.co.psynet | LIVE Score, Real-Time Score | 5M+ | Zaktualizowana |
sixclk.newpiki | Pikicast | 5M+ | Usunięta |
com.appsnine.compass | Compass 9: Smart Compass | 1M+ | Usunięta |
com.gomtv.gomaudio | GOM Audio – Music, Sync lyrics | 1M+ | Zaktualizowana |
com.gretech.gomtv | 곰TV – All About Video | 1M+ | Zaktualizowana |
com.guninnuri.guninday | 전역일 계산기 디데이 곰신톡–군인 … | 1M+ | Zaktualizowana |
com.itemmania.imiapp | 아이템매니아 – 게임 아이템 거래 … | 1M+ | Usunięta |
com.lotteworld.android.lottemagicpass | LOTTE WORLD Magicpass | 1M+ | Zaktualizowana |
com.Monthly23.BounceBrickBreaker | Bounce Brick Breaker | 1M+ | Usunięta |
com.Monthly23.InfiniteSlice | Infinite Slice | 1M+ | Usunięta |
com.pump.noraebang | 나홀로 노래방–쉽게 찾아 이용하는 … | 1M+ | Zaktualizowana |
com.somcloud.somnote | SomNote – Beautiful note app | 1M+ | Usunięta |
com.whitecrow.metroid | Korea Subway Info : Metroid | 1M+ | Zaktualizowana |
kr.co.GoodTVBible | GOODTV다번역성경찬송 | 1M+ | Usunięta |
kr.co.happymobile.happyscreen | 해피스크린 – 해피포인트를 모으 … | 1M+ | Zaktualizowana |
kr.co.rinasoft.howuse | UBhind: Mobile Tracker Manager | 1M+ | Usunięta |
mafu.driving.free | 스피드 운전면허 필기시험 … | 1M+ | Usunięta |
com.wtwoo.girlsinger.worldcup | 이상형 월드컵 | 500K+ | Zaktualizowana |
kr.ac.fspmobile.cu | CU편의점택배 | 500K+ | Usunięta |
com.appsnine.audiorecorder | 스마트 녹음기 : 음성 녹음기 | 100K+ | Usunięta |
com.camera.catmera | 캣메라 [순정 무음카메라] | 100K+ | Usunięta |
com.cultureland.plus | 컬쳐플러스:컬쳐랜드 혜택 더하기 … | 100K+ | Zaktualizowana |
com.dkworks.simple_air | 창문닫아요(미세/초미세먼지/WHO … | 100K+ | Usunięta |
com.lotteworld.ticket.seoulsky | 롯데월드타워 서울스카이 | 100K+ | Zaktualizowana |
com.Monthly23.LevelUpSnakeBall | Snake Ball Lover | 100K+ | Usunięta |
com.nmp.playgeto | 게토(geto) – PC방 게이머 필수 앱 | 100K+ | Usunięta |
com.note.app.memorymemo | 기억메모 – 심플해서 더 좋은 메모장 | 100K+ | Usunięta |
com.player.pb.stream | 풀빵 : 광고 없는 유튜브 영상 … | 100K+ | Usunięta |
com.realbyteapps.moneya | Money Manager (Remove Ads) | 100K+ | Zaktualizowana |
com.wishpoke.fanciticon | Inssaticon – Cute Emoticons, K | 100K+ | Usunięta |
marifish.elder815.ecloud | 클라우드런처 | 100K+ | Zaktualizowana |
com.dtryx.scinema | 작은영화관 | 50K+ | Zaktualizowana |
com.kcld.ticketoffice | 매표소–뮤지컬문화공연 예매& … | 50K+ | Zaktualizowana |
com.lotteworld.ticket.aquarium | 롯데월드 아쿠아리움 | 50K+ | Zaktualizowana |
com.lotteworld.ticket.waterpark | 롯데 워터파크 | 50K+ | Zaktualizowana |
com.skt.skaf.l001mtm091 | T map for KT, LGU+ | 50K+ | Usunięta |
org.howcompany.randomnumber | 숫자 뽑기 | 50K+ | Zaktualizowana |
com.aog.loader | 로더(Loader) – 효과음 다운로드 앱 | 10K+ | Usunięta |
com.gomtv.gomaudio.pro | GOM Audio Plus – Music, Sync l | 10K+ | Zaktualizowana |
com.NineGames.SwipeBrickBreaker2 | Swipe Brick Breaker 2 | 10K+ | Usunięta |
com.notice.safehome | 안심해 – 안심귀가 프로젝트 | 10K+ | Usunięta |
kr.thepay.chuncheon | 불러봄내 – 춘천시민을 위한 공공 … | 10K+ | Usunięta |
com.curation.fantaholic | 판타홀릭 – 아이돌 SNS 앱 | 5K+ | Usunięta |
com.dtryx.cinecube | 씨네큐브 | 5K+ | Zaktualizowana |
com.p2e.tia.tnt | TNT | 5K+ | Usunięta |
com.health.bestcare | 베스트케어–위험한 전자기장, … | 1K+ | Usunięta |
com.ninegames.solitaire | InfinitySolitaire | 1K+ | Usunięta |
com.notice.newsafe | 안심해 : 안심지도 | 1K+ | Usunięta |
com.notii.cashnote | 노티아이 for 소상공인 | 1K+ | Usunięta |
com.tdi.dataone | TDI News – 최초 데이터 뉴스 앱 … | 1K+ | Usunięta |
com.ting.eyesting | 눈팅 – 여자들의 커뮤니티 | 500+ | Usunięta |
com.ting.tingsearch | 팅서치 TingSearch | 50+ | Usunięta |
com.celeb.tube.krieshachu | 츄스틱 : 크리샤츄 Fantastic | 50+ | Usunięta |
com.player.yeonhagoogokka | 연하구곡 | 10+ | Usunięta |
Źródło: McAfee