"Goldoson" заразил 100 млн смартфонов и охотится на конфиденциальность и рекламные доходы

Новое вредоносное ПО для Android под названием «Goldoson» распространяется в Google Play внутри 60 приложений со 100 млн. загрузок . Вредоносный компонент является частью сторонней библиотеки, используемой всеми 60 приложениями, которые разработчики неосознанно добавили в свои приложения.

По данным специалистов McAfee, вредоносное ПО может собирать данные об установленных приложениях, об устройствах, подключенных по Wi-Fi и Bluetooth, а также о местоположении пользователя по GPS. Кроме того, Goldoson может проводить мошенничество с рекламой, переходя по рекламному баннеру в фоновом режиме без согласия пользователя.

Когда пользователь запускает приложение, содержащее Goldoson, библиотека регистрирует устройство и получает его конфигурацию с удаленного сервера, домен которого замаскирован. Конфигурация содержит параметры, определяющие, какие функции кражи данных и кликов по рекламе должны запускаться на зараженном устройстве и как часто.

Функция сбора данных обычно активируется каждые 2 дня, отправляя на C2-сервер список установленных приложений, историю местоположений, MAC-адреса устройств, подключенных к Bluetooth и WiFi, и другую информацию.

Уровень сбора данных зависит от разрешений, предоставленных зараженному приложению при его установке, а также версии Android. Android 11 и выше лучше защищены от произвольного сбора данных, однако, по словам McAfee, даже в последних версиях Android у Goldoson было достаточно разрешений для сбора конфиденциальных данных в 10% приложений.

Функция клика по рекламе осуществляется путем загрузки HTML-кода и внедрения его в настраиваемый скрытый WebView, а затем его использования для посещения нескольких URL-адресов, генерирующих доход от рекламы. При этом жертва не видит никаких признаков активности на своем устройстве.

Активность Goldoson с кликами на объявлениях

McAfee является членом альянса Google App Defense Alliance, который помогает защитить Google Play от вредоносного и рекламного ПО. Таким образом, исследователи проинформировали Google о своих выводах, а Google предупредила разработчиков затронутых приложений о проблеме.

Многие разработчики удалили проблемную библиотеку, а те приложения, которые не были исправлены, были удалены из Google Play за несоблюдение политики магазина. Пользователи, установившие затронутое приложение из Google Play, должны установить последнее доступное обновление.

Тем не менее, Goldoson существует и в сторонних магазинах приложений для Android. При этом высока вероятность того, что в приложениях из этих магазинов все ещё есть вредоносная библиотека.

Общие признаки заражения рекламным и вредоносным ПО включают нагрев устройства, быструю разрядку аккумулятора и необычно высокий уровень использования интернет-данных, даже когда устройство не используется.