Zlonamjerni softver u 60 Google Play aplikacija sa 100 miliona instalacija

Sigurnosni istraživači su otkrili zlonamjerni softver u 60 Google Play aplikacija sa 100 miliona instalacija koji je nazvan Goldoson.

Zlonamjerni softver u 60 Google Play aplikacija sa 100 miliona instalacija; Dizajn: Saša Đurić

Novi zlonamjerni softver Goldoson se skriva u legitimnim aplikacijama koristeći zlonamjerni softver koji je dio biblioteke treće strane korištene od strane autora svih 60 aplikacija, koji su ga nesvjesno dodali svoje aplikacije.

Ovo je lista pogođenih aplikacija:

• L.POINT with L.PAY 10+ miliona preuzimanja – Ažurirana
• Swipe Brick Breaker 10+ miliona preuzimanja – Uklonjena
• Money Manager Expense & Budget 10+ miliona preuzimanja – Ažurirana
• TMAP 10+ miliona preuzimanjaUpdated
• Lotte Cinema 10+ miliona preuzimanja – Ažurirana
• Genie Music 10+ miliona preuzimanja – Ažurirana
• Cultureland version 2 5+ miliona preuzimanja – Ažurirana
• GOM Player 5+ miliona preuzimanja – Ažurirana
• Megabox 5+ miliona preuzimanja – Uklonjena
• LIVE Score Real-Time score 5+ miliona preuzimanja – Ažurirana
• Pikicast 5+ miliona preuzimanja – Uklonjena
• Compass 9: Smart Compass 1+ milion preuzimanja – Uklonjena
• GOM Audio – Music, Sync lyrics 1+ milion preuzimanja – Ažurirana
• TV – All About Video 1+ milion preuzimanja – Ažurirana
• Guninday 1+ milion preuzimanja – Ažurirana
• Item mania 1+ milion preuzimanja – Uklonjena
• LOTTE WORLD Magicpass 1+ milion preuzimanja – Ažurirana
• Bounce Brick Breaker 1+ milion preuzimanja – Uklonjena
• InfiniteSlice Infinite Slice 1+ milion preuzimanja – Uklonjena
• Norae bang 1+ milion preuzimanja – Ažurirana
• SomNote – Beautiful note app 1+ milion preuzimanja – Uklonjena
• Korea Subway Info: Metroid 1+ milion preuzimanja – Ažurirana
• GoodTVBible 1+ milion preuzimanja+ – Uklonjena
• Happy Mobile Happy Screen 1+ milion preuzimanja+ – Ažurirana
• UBhind: Mobile Tracker Manager 1+ milion preuzimanja+ – Uklonjena
• Mafu Driving Free 1+ milion preuzimanja+ – Uklonjena
• Girl singer WorldCup 500+ hiljada preuzimnja – Ažurirana
• FSP Mobile 500+ hiljada preuzimnja – Uklonjena
• Audio Recorder 100+ hiljada preuzimanja – Uklonjena
• Catmera 100+ hiljada preuzimanja – Uklonjena
• Cultureland Plus 100+ hiljada preuzimanja – Ažurirana
• Simple Air 100+ hiljada preuzimanja – Uklonjena
• Lotteworld Seoul Sky 100+ hiljada preuzimanja – Ažurirana
• Snake Ball Lover 100+ hiljada preuzimanja – Uklonjena
• Play Geto 100+ hiljada preuzimanja – Uklonjena
• Memory Memo 100+ hiljada preuzimanja – Uklonjena
• PB Stream 100+ hiljada preuzimanja – Uklonjena
• Money Manager (Remove Ads) 100+ hiljada preuzimanja – Ažurirana
• Inssaticon – Cute Emoticons 100+ hiljada preuzimanja – Uklonjena
• ECloud 100+ hiljada preuzimanja – Ažurirana
• SCinema 50+ hiljada preuzimanja – Ažurirana
• Ticket Office 50+ hiljada preuzimanja – Ažurirana
• Lotteworld Aquarium 50+ hiljada preuzimanja – Ažurirana
• Lotteworld Water Park 50+ hiljada preuzimanja – Ažurirana
• T map for KT, LGU+ 50+ hiljada preuzimanja – Uklonjena
• Random number 50+ hiljada preuzimanja – Ažurirana
• AOG Loader 10+ hiljada preuzimanja – Uklonjena
• GOM Audio Plus – Music, Sync l 10+ hiljada preuzimanja – Ažurirana
• Swipe Brick Breaker 2 10+ hiljada preuzimanja – Uklonjena
• Safe Home 10+ hiljada preuzimanja – Uklonjena
• Chuncheon 10+ hiljada preuzimanja – Uklonjena
• Fantaholic 5+ hiljada preuzimanja – Uklonjena
• Cinecube 5+ hiljada preuzimanja – Ažurirana
• TNT 5+ hiljada preuzimanja – Uklonjena
• Bestcare Health 1000+ preuzimanja – Uklonjena
• InfinitySolitaire 1000+ preuzimanja – Uklonjena
• New Safe 1000+ preuzimanja – Uklonjena
• Cashnote 1000+ preuzimanja – Uklonjena
• TDI News 1000+ preuzimanja – Uklonjena
• Eyesting 500+ preuzimanja – Uklonjena
• TingSearch 50+ preuzmanja – Uklonjena
• Krieshachu Fantastic 50+ preuzimanja – Uklonjena
• Yeonhagoogokka 10+ preuzimanja – Uklonjena

Korisnici trebaju imati na umu a umu da ova lista uključuje broj instaliranja i informaciju da li je zlonamjerni softver uklonjen iz aplikacije (Ažurirana) ili je aplikacija uklonjena iz Google Play prodavnice (Uklonjena).

Krađa podatka sa korisničkih uređaja

Zlonamjerni softver može prikupljati podatke o instaliranim aplikacijama na uređaju, informacije o Wi-Fi i Bluetooth povezanim uređajima, kao i GPS lokaciju uređaja. Pored toga, ima mogućnost prevare sa reklamnim sadržajem, obavljajući klikove na reklame u pozadini bez znanja korisnika.

Kada korisnik pokrene aplikaciju koja sadrži zlonamjerni softver Goldoson, biblioteka registruje uređaj i prima konfiguraciju sa udaljenog servera čiji je domen prikriven. Konfiguracija sadrži parametre koji određuju koje funkcije za krađu podataka i klikove na oglase Goldoson treba da radi na zaraženom uređaju i koliko često.

Funkcija prikupljanja podataka je obično podešena da se aktivira svaka dva dana, šaljući komandnom serveru listu instaliranih aplikacija, istoriju geografskih lokacija, MAC adresu uređaja povezanih preko Wi-Fi i Bluetooth i još mnogo toga.

Nivo prikupljanja podataka zavisi od dozvola koje su dodijeljene zaraženoj aplikaciji tokom njene instalacije i verzije Android operativnog sistema. Android 11 i noviji sistemi su bolje zaštićeni od proizvoljnog prikupljanja podataka; međutim, otkriveno je da je čak i u novijim verzijama operativnog sistema Goldoson imao dovoljno dozvola da prikupi osjetljive podatke u oko 10% aplikacija.

Funkcija klikanja na oglas se odvija tako što se učitava HTML kôd i ubacuje u prilagođeni, skriveni WebView, a zatim se koristi za obavljanje više posjeta određenoj Internet adresi, stvarajući prihod od oglasa. Žrtva ne vidi nikakve indikacije ove aktivnosti na svom uređaju.

Zaštita

Sigurnosni istraživači su informisali kompaniju Google i autore aplikacija koje su pogođene zlonamjernim softverom Goldoson. Mnoge od pogođenih aplikacija su očistili njihovi programeri, koji su uklonili biblioteku koja krši pravila, a one aplikacije čiji autori nisu odgovorili na vreme, su uklonjene sa sa Google Play prodavnice zbog neusaglašenosti sa smjernicama prodavnice.

 

“Bezbjednost korisnika i programera je u srži Google Play prodavnice. Kada pronađemo aplikacije koje krše naše smjernice, preduzimamo odgovarajuće mjere. Obavijestili smo programere da njihove aplikacije krše smjernice Google Play  prodavnice i da su potrebne ispravke da bi se uskladile sa njima.”

– Google izjavio za BleepingComputer –

Korisnici bi trebalo da znaju da samo zato što je neka aplikacija uklonjena iz Google Play prodavnice, to ne znači da ne može da zloupotrebi korisnikov uređaj, ako još uvijek imate instaliranu zlonamjernu aplikaciju na telefonu ili tabletu. Drugim riječima, ako korisnik ima bilo koju od ovih aplikacija na bilo kom od svojih mobilnih uređaja, preporuka je da se aplikacija deinstalira sada čak i ako je autor navodno očistio aplikaciju i aplikacija prošla Google testiranje.

Zaključak

Infiltracija zlonamjernog softvera Goldoson u Google Play prodavnicu nije izolovan incident, a prijetnje zlonamjernog softvera za mobilne uređaje postaju sve češće i naprednije. Posljednjih godina primjetan je porast napada zlonamjernog softvera na Android uređaje, pri čemu je zlonamjerni softver često skriven u naizgled legitimnim aplikacijama.

Napadi zlonamjernog softvera mogu imati ozbiljne posljedice, uključujući krađu podataka, finansijski gubitak i krađu identiteta. Kako se sve više korisnika oslanja na mobilne uređaje za osjetljive zadatke kao što su Internet bankarstvo i kupovina preko Interneta, zaštita ovih uređaja od zlonamjernog softvera postaje sve važnija. Jedan od izazova u otkrivanju i eliminisanju zlonamjernog softvera kao što je Goldoson je taj što je često skriven u bibliotekama trećih strana koje koriste mnoge različite aplikacije. Programeri često koriste ove biblioteke da uštede vreme i trud prilikom kreiranja svojih aplikacija, ali će možda morati da budu svjesni bezbjednosnih rizika povezanih sa njihovim korištenjem.

Prodavnice aplikacija kao što su Google Play i Apple App Store primijenile su bezbjednosne mjere za provjeru aplikacija na prisustvo zlonamjernog softvera i drugih  bezbjednosnih rizika da bi riješile ovaj problem. Međutim, kao što je Infiltracija Goldoson zlonamjernog softvera pokazala, ove mjere bi mogle biti sigurnije, a korisnici moraju da preduzmu dodatne mjere predostrožnosti da bi se zaštitili.

Jedna od najvažnijih stvari koje korisnici mogu da urade da bi se zaštitili od zlonamjernog softvera  je samo preuzimanje aplikacija iz pouzdanih izvora. Google Play i Apple App Store smatraju se bezbjednim izvorima za aplikacije, ali korisnici bi ipak trebalo da pročitaju recenzije i ocjene pre preuzimanja bilo koje aplikacije.