Malware para Android se infiltra em 60 aplicativos do Google Play com 100 milhões de instalações
17 de Abril de 2023

Um novo malware para Android chamado 'Goldoson' infiltrou-se no Google Play através de 60 aplicativos legítimos que, juntos, têm 100 milhões de downloads.

O componente malicioso do malware é parte de uma biblioteca de terceiros usada por todos os sessenta aplicativos que os desenvolvedores acrescentaram sem saber aos seus aplicativos.

De acordo com a equipe de pesquisa da McAfee, que descobriu o Goldoson, o malware pode coletar dados sobre aplicativos instalados, dispositivos conectados ao WiFi e Bluetooth e a localização GPS do usuário.

Além disso, ele pode realizar fraude de anúncios, clicando em anúncios em segundo plano sem o consentimento do usuário.

Quando o usuário inicia um aplicativo que contém o Goldoson, a biblioteca registra o dispositivo e recebe sua configuração de um servidor remoto cujo domínio é obfuscado.

A configuração contém parâmetros que definem quais funções de coleta de dados e de cliques em anúncios o Goldoson deve executar no dispositivo infectado e com que frequência.

A função de coleta de dados é normalmente ativada a cada dois dias, enviando para o servidor C2 uma lista de aplicativos instalados, histórico de localização geográfica, endereço MAC de dispositivos conectados por Bluetooth e WiFi e muito mais.

O nível de coleta de dados depende das permissões concedidas ao aplicativo infectado durante a instalação e da versão do Android.

O Android 11 e acima estão mais protegidos contra a coleta arbitrária de dados; no entanto, a McAfee descobriu que, mesmo nas versões mais recentes do sistema operacional, o Goldoson tinha permissões suficientes para coletar dados sensíveis em 10% dos aplicativos.

A função de cliques em anúncios ocorre carregando código HTML e injetando-o em um WebView oculto personalizado e, em seguida, usando-o para realizar várias visitas de URL, gerando receita de anúncios.

A vítima não vê nenhuma indicação dessa atividade em seu dispositivo.

A McAfee é membro da Google App Defense Alliance que ajuda a manter o Google Play livre de ameaças de malware/adware.

Como tal, os pesquisadores informaram o Google sobre suas descobertas e os desenvolvedores dos aplicativos afetados foram alertados de acordo.

Muitos dos aplicativos afetados foram limpos por seus desenvolvedores, que removeram a biblioteca maliciosa, e aqueles que não responderam a tempo tiveram seus aplicativos removidos do Google Play por não estarem em conformidade com as políticas da loja.

O Google confirmou a ação ao BleepingComputer, afirmando que os aplicativos violaram as políticas do Google Play.

"A segurança dos usuários e dos desenvolvedores está no centro do Google Play.

Quando encontramos aplicativos que violam nossas políticas, tomamos as medidas apropriadas", disse o Google ao BleepingComputer.

"Notificamos os desenvolvedores de que seus aplicativos estão em violação das políticas do Google Play e que as correções são necessárias para estar em conformidade".

Os usuários que instalaram um aplicativo afetado do Google Play podem remediar o risco aplicando a atualização mais recente disponível.

No entanto, o Goldoson também existe em lojas de aplicativos Android de terceiros, e as chances de ainda abrigarem a biblioteca maliciosa são altas.

Os sinais comuns de infecção por adware e malware incluem o superaquecimento do dispositivo, a rápida drenagem da bateria e o uso de dados da internet incomumente alto, mesmo quando o dispositivo não está em uso.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...