Android-вредонос Goldoson проник в Play Store на горбу у 60 приложений

Новый Android-вредонос Goldoson проник в официальный магазин Google Play Store, «присоседившись» к 60 легитимным приложениям. В общей сумме этот софт скачали около ста миллионов раз.

Вредоносный компонент представляет собой стороннюю библиотеку, её используют разработчики упомянутых 60 программ. Наиболее популярные приложения, протащившие зловред в Play Store, выглядят так:

• L.POINT with L.PAY - 10 миллионов загрузок.
• Swipe Brick Breaker - 10 миллионов загрузок.
• Money Manager Expense & Budget - 10 миллионов загрузок.
• GOM Player - 5 миллионов загрузок.
• LIVE Score, Real-Time Score - 5 миллионов загрузок.
• Pikicast - 5 миллионов загрузок.
• Compass 9: Smart Compass - 1 миллион загрузок.
• GOM Audio - Music, Sync lyrics - 1 миллион загрузок.
• LOTTE WORLD Magicpass - 1 миллион загрузок.
• Bounce Brick Breaker - 1 миллион загрузок.
• Infinite Slice - 1 миллион загрузок.
• SomNote - Beautiful note app - 1 миллион загрузок.
• Korea Subway Info: Metroid - 1 миллион загрузок.

По словам исследователей из команды McAfee, которые первыми вышли на Goldoson, вредонос может собирать данные об установленных приложениях, геолокации пользователя и подключённых по Wi-Fi и Bluetooth устройствах. Более того, Goldoson способен кликать на рекламных объявлениях в фоновом режиме.

Как только жертва запускает программу, содержащую Goldoson, библиотека регистрирует устройства и получает от удалённого сервера настройки. Домен злоумышленников, к слову, обфусцирован.

Конфигурация вредоноса содержит параметры, которые дают ему понять, какие именно данные передать оператору. Помимо этого, получаемые настройки задают частоту кликов по рекламным объявлениям.

В результате каждые два дня Goldoson передаёт C2-серверу список установленных в системе программ, MAC-адрес, историю геолокации, информацию о подключённых девайсах и др.

Специалисты McAfee уведомили не только Google, но и разработчиков затронутых приложений о вредоносе.