Un nuevo malware de Android llamado 'Goldoson' se ha infiltrado en Google Play a través de 60 aplicaciones legítimas que en conjunto tienen 100 millones de descargas.
El componente de malware malicioso es parte de una biblioteca de terceros utilizada por las sesenta aplicaciones que los desarrolladores agregaron sin saberlo a sus aplicaciones.
Algunas de las aplicaciones afectadas son:
- L.POINT con L.PAY - 10 millones de descargas
- Swipe Brick Breaker - 10 millones de descargas
- Money Manager Expense & Budget - 10 millones de descargas
- GOM Player - 5 millones de descargas
- Puntuación EN VIVO, puntuación en tiempo real: 5 millones de descargas
- Pikicast - 5 millones de descargas
- Compass 9: Smart Compass - 1 millón de descargas
- GOM Audio - Música, sincronizar letras - 1 millón de descargas
- LOTTE WORLD Magicpass - 1 millón de descargas
- Bounce Brick Breaker - 1 millón de descargas
- Rebanada Infinita - 1 millón de descargas
- SomNote - Hermosa aplicación de notas - 1 millón de descargas
- Korea Subway Info: Metroid - 1 millón de descargas
Según el equipo de investigación de McAfee , que descubrió Goldoson, el malware puede recopilar datos sobre aplicaciones instaladas, dispositivos conectados a Wi-Fi y Bluetooth, y las ubicaciones de GPS del usuario.
Además, puede cometer fraude publicitario al hacer clic en anuncios en segundo plano sin el consentimiento del usuario.
Robo de datos de dispositivos Android
Cuando el usuario inicia una aplicación que contiene Goldoson, la biblioteca registra el dispositivo y recibe su configuración de un servidor remoto cuyo dominio está ofuscado.
La configuración contiene parámetros que establecen qué funciones de robo de datos y clic en anuncios debe ejecutar Goldoson en el dispositivo infectado y con qué frecuencia.
Configuración de Goldoson (McAfee)
La función de recopilación de datos generalmente está configurada para activarse cada dos días, enviando al servidor C2 una lista de aplicaciones instaladas, el historial de ubicación geográfica, la dirección MAC de los dispositivos conectados a través de Bluetooth, WiFi, y más.
Solicitud JSON que extrae datos (McAfee)
El nivel de recopilación de datos depende de los permisos otorgados a la aplicación infectada durante su instalación y la versión de Android. Android 11 y superior están mejor protegidos contra la recopilación de datos arbitrarios; sin embargo, McAfee descubrió que, incluso en versiones recientes del sistema operativo, Goldoson tenía suficientes permisos para recopilar datos confidenciales en el 10 % de las aplicaciones.
La función de hacer clic en anuncios se lleva a cabo cargando código HTML e inyectándolo en un WebView personalizado y oculto, y luego usándolo para realizar múltiples visitas a URL, generando ingresos publicitarios.
La víctima no ve ninguna indicación de esta actividad en su dispositivo.
Actividad de clics en anuncios de Goldoson (McAfee)
Biblioteca eliminada, pero el riesgo sigue ahí
McAfee es un miembro de Google App Defense Alliance que ayuda a mantener Google Play libre de amenazas de malware/adware. Como tal, los investigadores informaron a Google sobre sus hallazgos y los desarrolladores de las aplicaciones afectadas fueron alertados en consecuencia.
Muchas de las aplicaciones afectadas fueron limpiadas por sus desarrolladores, quienes eliminaron la biblioteca infractora, y aquellas que no respondieron a tiempo eliminaron sus aplicaciones de Google Play por incumplimiento de las políticas de la tienda.
Google confirmó la acción, afirmando que las aplicaciones violaron las políticas de Google Play.
"La seguridad de los usuarios y desarrolladores es el núcleo de Google Play. Cuando encontramos aplicaciones que violan nuestras políticas, tomamos las medidas apropiadas", dijo Google.
"Hemos notificado a los desarrolladores que sus aplicaciones violan las políticas de Google Play y se necesitan correcciones para cumplirlas".
Los usuarios que instalaron una aplicación afectada de Google Play pueden remediar el riesgo aplicando la última actualización disponible.
Sin embargo, Goldoson también existe en las tiendas de aplicaciones de Android de terceros, y las posibilidades de que aquellos que aún albergan la biblioteca maliciosa son altas.
Los signos comunes de infección por adware y malware incluyen el calentamiento del dispositivo, el agotamiento rápido de la batería y un uso inusualmente alto de datos de Internet, incluso cuando el dispositivo no está en uso.
