Um novo malware para Android chamado 'Goldoson' infiltrou-se no Google Play através de 60 aplicativos legítimos que, juntos, têm 100 milhões de downloads.
O componente malicioso do malware é parte de uma biblioteca de terceiros usada por todos os sessenta aplicativos que os desenvolvedores acrescentaram sem saber aos seus aplicativos.
De acordo com a equipe de pesquisa da McAfee, que descobriu o Goldoson, o malware pode coletar dados sobre aplicativos instalados, dispositivos conectados ao WiFi e Bluetooth e a localização GPS do usuário.
Além disso, ele pode realizar fraude de anúncios, clicando em anúncios em segundo plano sem o consentimento do usuário.
Quando o usuário inicia um aplicativo que contém o Goldoson, a biblioteca registra o dispositivo e recebe sua configuração de um servidor remoto cujo domínio é obfuscado.
A configuração contém parâmetros que definem quais funções de coleta de dados e de cliques em anúncios o Goldoson deve executar no dispositivo infectado e com que frequência.
A função de coleta de dados é normalmente ativada a cada dois dias, enviando para o servidor C2 uma lista de aplicativos instalados, histórico de localização geográfica, endereço MAC de dispositivos conectados por Bluetooth e WiFi e muito mais.
O nível de coleta de dados depende das permissões concedidas ao aplicativo infectado durante a instalação e da versão do Android.
O Android 11 e acima estão mais protegidos contra a coleta arbitrária de dados; no entanto, a McAfee descobriu que, mesmo nas versões mais recentes do sistema operacional, o Goldoson tinha permissões suficientes para coletar dados sensíveis em 10% dos aplicativos.
A função de cliques em anúncios ocorre carregando código HTML e injetando-o em um WebView oculto personalizado e, em seguida, usando-o para realizar várias visitas de URL, gerando receita de anúncios.
A vítima não vê nenhuma indicação dessa atividade em seu dispositivo.
A McAfee é membro da Google App Defense Alliance que ajuda a manter o Google Play livre de ameaças de malware/adware.
Como tal, os pesquisadores informaram o Google sobre suas descobertas e os desenvolvedores dos aplicativos afetados foram alertados de acordo.
Muitos dos aplicativos afetados foram limpos por seus desenvolvedores, que removeram a biblioteca maliciosa, e aqueles que não responderam a tempo tiveram seus aplicativos removidos do Google Play por não estarem em conformidade com as políticas da loja.
O Google confirmou a ação ao BleepingComputer, afirmando que os aplicativos violaram as políticas do Google Play.
"A segurança dos usuários e dos desenvolvedores está no centro do Google Play.
Quando encontramos aplicativos que violam nossas políticas, tomamos as medidas apropriadas", disse o Google ao BleepingComputer.
"Notificamos os desenvolvedores de que seus aplicativos estão em violação das políticas do Google Play e que as correções são necessárias para estar em conformidade".
Os usuários que instalaram um aplicativo afetado do Google Play podem remediar o risco aplicando a atualização mais recente disponível.
No entanto, o Goldoson também existe em lojas de aplicativos Android de terceiros, e as chances de ainda abrigarem a biblioteca maliciosa são altas.
Os sinais comuns de infecção por adware e malware incluem o superaquecimento do dispositivo, a rápida drenagem da bateria e o uso de dados da internet incomumente alto, mesmo quando o dispositivo não está em uso.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...