Một phần mềm độc hại Android mới có tên 'Goldoson' đã xâm nhập vào Google Play thông qua 60 ứng dụng hợp pháp có tổng cộng 100 triệu lượt tải xuống.
Thành phần phần mềm độc hại độc hại là một phần của thư viện bên thứ ba được sử dụng bởi tất cả 60 ứng dụng mà các nhà phát triển đã vô tình thêm vào ứng dụng của họ.
Theo nhóm nghiên cứu của McAfee , nhóm đã phát hiện ra Goldoson, phần mềm độc hại này có thể thu thập dữ liệu trên các ứng dụng đã cài đặt, thiết bị kết nối WiFi và Bluetooth cũng như vị trí GPS của người dùng.
Ngoài ra, nó có thể thực hiện gian lận quảng cáo bằng cách nhấp vào quảng cáo trong nền mà không có sự đồng ý của người dùng.
Khi người dùng khởi chạy một ứng dụng có chứa Goldoson, thư viện sẽ đăng ký thiết bị và nhận cấu hình của nó từ một máy chủ từ xa có miền bị xáo trộn.
Cấu hình chứa các tham số đặt các chức năng đánh cắp dữ liệu và nhấp vào quảng cáo mà Goldoson sẽ chạy trên thiết bị bị nhiễm và tần suất chạy.
Cấu hình Goldoson
Chức năng thu thập dữ liệu thường được thiết lập để kích hoạt hai ngày một lần, gửi đến máy chủ C2 danh sách các ứng dụng đã cài đặt, lịch sử vị trí địa lý, địa chỉ MAC của các thiết bị được kết nối qua Bluetooth và WiFi, v.v.
Yêu cầu JSON lọc dữ liệu
Mức độ thu thập dữ liệu tùy thuộc vào quyền được cấp cho ứng dụng bị nhiễm trong quá trình cài đặt và phiên bản Android. Android 11 trở lên được bảo vệ tốt hơn trước việc thu thập dữ liệu tùy ý; tuy nhiên, McAfee nhận thấy rằng ngay cả trong các phiên bản HĐH gần đây, Goldoson có đủ quyền để thu thập dữ liệu nhạy cảm trong 10% ứng dụng.
Chức năng nhấp vào quảng cáo diễn ra bằng cách tải mã HTML và đưa mã đó vào một WebView ẩn, tùy chỉnh, sau đó sử dụng mã đó để thực hiện nhiều lượt truy cập URL, tạo doanh thu quảng cáo.
Nạn nhân không thấy bất kỳ dấu hiệu nào của hoạt động này trên thiết bị của họ.
Hoạt động nhấp chuột vào quảng cáo của Goldoson
Thư viện đã bị xóa, nhưng rủi ro vẫn còn đó
McAfee là thành viên của Google App Defense Alliance giúp giữ cho Google Play sạch khỏi các mối đe dọa phần mềm độc hại/phần mềm quảng cáo. Do đó, các nhà nghiên cứu đã thông báo cho Google về những phát hiện của họ và các nhà phát triển ứng dụng bị ảnh hưởng đã được cảnh báo tương ứng.
Nhiều ứng dụng bị ảnh hưởng đã được xóa bởi các nhà phát triển của họ, họ đã xóa thư viện vi phạm và những ứng dụng không phản hồi kịp thời sẽ bị xóa ứng dụng khỏi Google Play do không tuân thủ chính sách của cửa hàng.
Google đã xác nhận hành động với BleepingComputer, nói rằng các ứng dụng đã vi phạm chính sách của Google Play.
"Sự an toàn của người dùng và nhà phát triển là cốt lõi của Google Play. Khi chúng tôi tìm thấy ứng dụng vi phạm chính sách của mình, chúng tôi sẽ có hành động thích hợp", Google nói với BleepingComputer.
"Chúng tôi đã thông báo cho các nhà phát triển rằng ứng dụng của họ vi phạm chính sách của Google Play và cần phải sửa lỗi để tuân thủ."
Người dùng đã cài đặt ứng dụng bị ảnh hưởng từ Google Play có thể khắc phục rủi ro bằng cách áp dụng bản cập nhật mới nhất hiện có.
Tuy nhiên, Goldoson cũng tồn tại trên các cửa hàng ứng dụng Android của bên thứ ba và khả năng những ứng dụng này vẫn chứa thư viện độc hại là rất cao.
Các dấu hiệu phổ biến của việc lây nhiễm phần mềm quảng cáo và phần mềm độc hại bao gồm thiết bị nóng lên, pin nhanh hết và mức sử dụng dữ liệu internet cao bất thường ngay cả khi thiết bị không được sử dụng.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.