Un malware Android si infiltra in 60 app di Google Play con 100 milioni di installazioni

Un nuovo malware Android chiamato "Goldoson" si è infiltrato in Google Play attraverso 60 app legittime che hanno complessivamente 100 milioni di download.

Il componente malware dannoso fa parte di una libreria di terze parti utilizzata da tutte le sessanta app che gli sviluppatori hanno inconsapevolmente aggiunto alle loro app.

    Scorri Brick Breaker - 10 milioni di download

    Money Manager Expense & Budget - 10 milioni di download

    GOM Player - 5 milioni di download

    Punteggio LIVE, Punteggio in tempo reale - 5 milioni di download

    Pikicast - 5 milioni di download

    Compass 9: Smart Compass - 1 milione di download

    GOM Audio - Musica, sincronizzazione testi - 1 milione di download

    LOTTE WORLD Magicpass - 1 milione di download

    Bounce Brick Breaker - 1 milione di download

    Infinite Slice - 1 milione di download

    SomNote - Bellissima app per appunti - 1 milione di download

    Informazioni sulla metropolitana della Corea: Metroid - 1 milione di download

Secondo il team di ricerca di McAfee, che ha scoperto Goldoson, il malware può raccogliere dati su app installate, dispositivi connessi WiFi e Bluetooth e posizioni GPS dell'utente.

Inoltre, può eseguire frodi pubblicitarie facendo clic sugli annunci in background senza il consenso dell'utente.

La configurazione contiene parametri che impostano quali funzioni di furto di dati e clic sugli annunci pubblicitari Goldoson dovrebbe eseguire sul dispositivo infetto e con quale frequenza.

La funzione di raccolta dati è in genere impostata per attivarsi ogni due giorni, inviando al server C2 un elenco di app installate, cronologia della posizione geografica, indirizzo MAC dei dispositivi connessi tramite Bluetooth e WiFi e altro.

Il livello di raccolta dei dati dipende dalle autorizzazioni concesse all'app infetta durante la sua installazione e dalla versione di Android. Android 11 e versioni successive sono meglio protetti dalla raccolta arbitraria di dati; tuttavia, McAfee ha scoperto che anche nelle versioni recenti del sistema operativo, Goldoson disponeva di autorizzazioni sufficienti per raccogliere dati sensibili nel 10% delle app.

La funzione di clic sugli annunci avviene caricando il codice HTML e inserendolo in una WebView personalizzata e nascosta, quindi utilizzandolo per eseguire più visite URL, generando entrate pubblicitarie.

La vittima non vede alcuna indicazione di questa attività sul proprio dispositivo.

McAfee è un membro di Google App Defense Alliance che aiuta a proteggere Google Play dalle minacce malware/adware. Pertanto, i ricercatori hanno informato Google delle sue scoperte e gli sviluppatori delle app interessate sono stati avvisati di conseguenza.

Molte delle app interessate sono state ripulite dai loro sviluppatori, che hanno rimosso la libreria offensiva, e quelle che non hanno risposto in tempo hanno rimosso le loro app da Google Play per non conformità con le politiche dello store.

Google ha confermato l'azione a BleepingComputer, affermando che le app violavano le norme di Google Play.

"La sicurezza degli utenti e degli sviluppatori è al centro di Google Play. Quando troviamo app che violano le nostre norme, prendiamo le misure appropriate", ha dichiarato Google a BleepingComputer.

"Abbiamo notificato agli sviluppatori che le loro app violano le norme di Google Play e sono necessarie correzioni per essere conformi".

Gli utenti che hanno installato un'app interessata da Google Play possono rimediare al rischio applicando l'ultimo aggiornamento disponibile.

Tuttavia, Goldoson esiste anche su app store Android di terze parti e le possibilità che coloro che ancora ospitano la libreria dannosa sono elevate.