Новый Android-вредонос Goldoson проник в официальный магазин Google Play Store, «присоседившись» к 60 легитимным приложениям. В общей сумме этот софт скачали около ста миллионов раз.
Вредоносный компонент представляет собой стороннюю библиотеку, её используют разработчики упомянутых 60 программ. Наиболее популярные приложения, протащившие зловред в Play Store, выглядят так:
- L.POINT with L.PAY - 10 миллионов загрузок.
- Swipe Brick Breaker - 10 миллионов загрузок.
- Money Manager Expense & Budget - 10 миллионов загрузок.
- GOM Player - 5 миллионов загрузок.
- LIVE Score, Real-Time Score - 5 миллионов загрузок.
- Pikicast - 5 миллионов загрузок.
- Compass 9: Smart Compass - 1 миллион загрузок.
- GOM Audio - Music, Sync lyrics - 1 миллион загрузок.
- LOTTE WORLD Magicpass - 1 миллион загрузок.
- Bounce Brick Breaker - 1 миллион загрузок.
- Infinite Slice - 1 миллион загрузок.
- SomNote - Beautiful note app - 1 миллион загрузок.
- Korea Subway Info: Metroid - 1 миллион загрузок.
По словам исследователей из команды McAfee, которые первыми вышли на Goldoson, вредонос может собирать данные об установленных приложениях, геолокации пользователя и подключённых по Wi-Fi и Bluetooth устройствах. Более того, Goldoson способен кликать на рекламных объявлениях в фоновом режиме.
Как только жертва запускает программу, содержащую Goldoson, библиотека регистрирует устройства и получает от удалённого сервера настройки. Домен злоумышленников, к слову, обфусцирован.
Конфигурация вредоноса содержит параметры, которые дают ему понять, какие именно данные передать оператору. Помимо этого, получаемые настройки задают частоту кликов по рекламным объявлениям.
В результате каждые два дня Goldoson передаёт C2-серверу список установленных в системе программ, MAC-адрес, историю геолокации, информацию о подключённых девайсах и др.
Специалисты McAfee уведомили не только Google, но и разработчиков затронутых приложений о вредоносе.
