Um novo malware para Android chamado ‘Goldoson’ se infiltrou no Google Play por meio de 60 aplicativos legítimos que, juntos, têm mais de 100 milhões de downloads. O malware esta em um componente malicioso que faz parte de uma biblioteca de terceiros por desenvolvedores de aplicativos.
Os aplicativos que contem o código malicioso são:
- L.POINT with L.PAY – 10 milhões de downloads
- Swipe Brick Breaker – 10 milhões de downloads
- Money Manager Expense & Budget – 10 milhões de downloads
- GOM Player – 5 milhões de downloads
- LIVE Score, Real-Time Score – 5 milhões de downloads
- Pikicast – 5 milhões de downloads
- Compass 9: Smart Compass – 1 milhão de downloads
- GOM Audio – Music, Sync lyrics – 1 milhão de downloads
- LOTTE WORLD Magicpass – 1 milhão de downloads
- Bounce Brick Breaker – 1 milhão de downloads
- Infinite Slice – 1 milhão de downloads
- SomNote – Beautiful note app – 1 milhão de downloads
- Korea Subway Info: Metroid – 1 milhão de downloads
De acordo com a equipe de pesquisa da McAfee, que descobriu o Goldoson, o malware pode coletar dados em aplicativos instalados, dispositivos conectados por Wi-Fi e Bluetooth e as localizações de GPS do usuário.
Além disso, pode cometer fraudes publicitárias ao clicar em anúncios em segundo plano sem o consentimento do usuário.
Roubar dados de dispositivos Android
Quando o usuário inicia um aplicativo que contém o Goldoson, a biblioteca registra o dispositivo e recebe sua configuração de um servidor remoto cujo domínio é ofuscado.
A configuração contém parâmetros que definem quais funções de roubo de dados e cliques em anúncios que o Goldoson deve executar no dispositivo infectado e com que frequência.
A função de coleta de dados é normalmente configurada para ativar a cada dois dias, enviando ao servidor C2 uma lista de aplicativos instalados, histórico de localização geográfica, endereço MAC de dispositivos conectados por Bluetooth e WiFi e muito mais.
O nível de coleta de dados depende das permissões concedidas ao aplicativo infectado durante sua instalação e da versão do Android. O Android 11 e superior estão mais protegidos contra a coleta arbitrária de dados; no entanto, a McAfee descobriu que, mesmo em versões recentes do sistema operacional, Goldoson tinha permissões suficientes para coletar dados confidenciais em 10% dos aplicativos.
A função de clicar no anúncio ocorre carregando o código HTML e injetando-o em um WebView oculto personalizado e, em seguida, usando-o para realizar várias visitas de URL, gerando receita de anúncios.
A vítima não vê nenhuma indicação dessa atividade em seu dispositivo.
Como se proteger
Como os aplicativos continuam aumentando de tamanho e complexidade, é comum que desenvolvedores utilizem bibliotecas de terceiros para trabalhos rotineiros ou integrações de tecnologias. É importante ao desenvolvedor verificar a procedência das bibliotecas utilizadas antes de adiciona-las aos seus projetos.
Aos consumidores, é importante ter sempre uma solução de segurança como um antivírus instalado em seus celulares e qualquer outro dispositivo, além de ficar atento as permissões solicitadas pelos aplicativos.
IOC’s
Domínios
- bhuroid.com
- enestcon.com
- htyyed.com
- discess.net
- gadlito.com
- gerfane.com
- visceun.com
- onanico.net
- methinno.net
- goldoson.net
- dalefs.com
- openwor.com
- thervide.net
- soildonutkiel.com
- treffaas.com
- sorrowdeepkold.com
- hjorsjopa.com
- dggerys.com
- ridinra.com
- necktro.com
- fuerob.com
- phyerh.net
- ojiskorp.net
- rouperdo.net
- tiffyre.net
- superdonaldkood.com
- soridok2kpop.com
Aplicativos e status
| Package Name | Aplicativo | GooglePlay Downloads | GP Status |
| com.lottemembers.android | L.POINT with L.PAY | 10M+ | Corrigido* |
| com.Monthly23.SwipeBrickBreaker | Swipe Brick Breaker | 10M+ | Removido** |
| com.realbyteapps.moneymanagerfree | Money Manager Expense & Budget | 10M+ | Corrigido* |
| com.skt.tmap.ku | TMAP – 대리,주차,전기차 충전,킥보 … | 10M+ | Corrigido* |
| kr.co.lottecinema.lcm | 롯데시네마 | 10M+ | Corrigido* |
| com.ktmusic.geniemusic | 지니뮤직 – genie | 10M+ | Corrigido* |
| com.cultureland.ver2 | 컬쳐랜드[컬쳐캐쉬] | 5M+ | Corrigido* |
| com.gretech.gomplayerko | GOM Player | 5M+ | Corrigido* |
| com.megabox.mop | 메가박스(Megabox) | 5M+ | Removido** |
| kr.co.psynet | LIVE Score, Real-Time Score | 5M+ | Corrigido* |
| sixclk.newpiki | Pikicast | 5M+ | Removido** |
| com.appsnine.compass | Compass 9: Smart Compass | 1M+ | Removido** |
| com.gomtv.gomaudio | GOM Audio – Music, Sync lyrics | 1M+ | Corrigido* |
| com.gretech.gomtv | 곰TV – All About Video | 1M+ | Corrigido* |
| com.guninnuri.guninday | 전역일 계산기 디데이 곰신톡–군인 … | 1M+ | Corrigido* |
| com.itemmania.imiapp | 아이템매니아 – 게임 아이템 거래 … | 1M+ | Removido** |
| com.lotteworld.android.lottemagicpass | LOTTE WORLD Magicpass | 1M+ | Corrigido* |
| com.Monthly23.BounceBrickBreaker | Bounce Brick Breaker | 1M+ | Removido** |
| com.Monthly23.InfiniteSlice | Infinite Slice | 1M+ | Removido** |
| com.pump.noraebang | 나홀로 노래방–쉽게 찾아 이용하는 … | 1M+ | Corrigido* |
| com.somcloud.somnote | SomNote – Beautiful note app | 1M+ | Removido** |
| com.whitecrow.metroid | Korea Subway Info : Metroid | 1M+ | Corrigido* |
| kr.co.GoodTVBible | GOODTV다번역성경찬송 | 1M+ | Removido** |
| kr.co.happymobile.happyscreen | 해피스크린 – 해피포인트를 모으 … | 1M+ | Corrigido* |
| kr.co.rinasoft.howuse | UBhind: Mobile Tracker Manager | 1M+ | Removido** |
| mafu.driving.free | 스피드 운전면허 필기시험 … | 1M+ | Removido** |
| com.wtwoo.girlsinger.worldcup | 이상형 월드컵 | 500K+ | Corrigido* |
| kr.ac.fspmobile.cu | CU편의점택배 | 500K+ | Removido** |
| com.appsnine.audiorecorder | 스마트 녹음기 : 음성 녹음기 | 100K+ | Removido** |
| com.camera.catmera | 캣메라 [순정 무음카메라] | 100K+ | Removido** |
| com.cultureland.plus | 컬쳐플러스:컬쳐랜드 혜택 더하기 … | 100K+ | Corrigido* |
| com.dkworks.simple_air | 창문닫아요(미세/초미세먼지/WHO … | 100K+ | Removido** |
| com.lotteworld.ticket.seoulsky | 롯데월드타워 서울스카이 | 100K+ | Corrigido* |
| com.Monthly23.LevelUpSnakeBall | Snake Ball Lover | 100K+ | Removido** |
| com.nmp.playgeto | 게토(geto) – PC방 게이머 필수 앱 | 100K+ | Removido** |
| com.note.app.memorymemo | 기억메모 – 심플해서 더 좋은 메모장 | 100K+ | Removido** |
| com.player.pb.stream | 풀빵 : 광고 없는 유튜브 영상 … | 100K+ | Removido** |
| com.realbyteapps.moneya | Money Manager (Remove Ads) | 100K+ | Corrigido* |
| com.wishpoke.fanciticon | Inssaticon – Cute Emoticons, K | 100K+ | Removido** |
| marifish.elder815.ecloud | 클라우드런처 | 100K+ | Corrigido* |
| com.dtryx.scinema | 작은영화관 | 50K+ | Corrigido* |
| com.kcld.ticketoffice | 매표소–뮤지컬문화공연 예매& … | 50K+ | Corrigido* |
| com.lotteworld.ticket.aquarium | 롯데월드 아쿠아리움 | 50K+ | Corrigido* |
| com.lotteworld.ticket.waterpark | 롯데 워터파크 | 50K+ | Corrigido* |
| com.skt.skaf.l001mtm091 | T map for KT, LGU+ | 50K+ | Removido** |
| org.howcompany.randomnumber | 숫자 뽑기 | 50K+ | Corrigido* |
| com.aog.loader | 로더(Loader) – 효과음 다운로드 앱 | 10K+ | Removido** |
| com.gomtv.gomaudio.pro | GOM Audio Plus – Music, Sync l | 10K+ | Corrigido* |
| com.NineGames.SwipeBrickBreaker2 | Swipe Brick Breaker 2 | 10K+ | Removido** |
| com.notice.safehome | 안심해 – 안심귀가 프로젝트 | 10K+ | Removido** |
| kr.thepay.chuncheon | 불러봄내 – 춘천시민을 위한 공공 … | 10K+ | Removido** |
| com.curation.fantaholic | 판타홀릭 – 아이돌 SNS 앱 | 5K+ | Removido** |
| com.dtryx.cinecube | 씨네큐브 | 5K+ | Corrigido* |
| com.p2e.tia.tnt | TNT | 5K+ | Removido** |
| com.health.bestcare | 베스트케어–위험한 전자기장, … | 1K+ | Removido** |
| com.ninegames.solitaire | InfinitySolitaire | 1K+ | Removido** |
| com.notice.newsafe | 안심해 : 안심지도 | 1K+ | Removido** |
| com.notii.cashnote | 노티아이 for 소상공인 | 1K+ | Removido** |
| com.tdi.dataone | TDI News – 최초 데이터 뉴스 앱 … | 1K+ | Removido** |
| com.ting.eyesting | 눈팅 – 여자들의 커뮤니티 | 500+ | Removido** |
| com.ting.tingsearch | 팅서치 TingSearch | 50+ | Removido** |
| com.celeb.tube.krieshachu | 츄스틱 : 크리샤츄 Fantastic | 50+ | Removido** |
| com.player.yeonhagoogokka | 연하구곡 | 10+ | Removido** |
* Corrigido significa que foram atualizados e tiveram a biblioteca maliciosa removida.
** Removido significa que não estão mais disponíveis no google play.