Een nieuwe kwaadaardige Android-malware die bekend staat als “Goldoson” heeft de Google Play Store geïnfiltreerd en daarbij 60 apps geïnfecteerd met in totaal 100 miljoen downloads.
De schadelijke Goldoson-component maakt deel uit van een bibliotheek van derden die alle zestig apps gebruiken en die makers onbedoeld in hun applicaties hebben opgenomen. L.POINT met L.PAY, Swipe Brick Breaker en Money Manager Expense & Budget behoren tot de populairste apps die door deze malware zijn getroffen. Elk van deze apps draagt 10 miljoen downloads bij aan het totale aantal.
De malware kan gegevens verzamelen over geïnstalleerde apps, met WiFi en Bluetooth verbonden apparaten en de GPS-locatie van de gebruiker. Meer dan dat, Goldoson kan ook advertentiefraude plegen door op de achtergrond advertenties aan te klikken zonder dat de gebruiker het weet.
Lees ook: Einde Google Analytics 3 op komst: migreren of wegwezen?
Nog niet in de veilige zone
Dat meldt het onderzoeksteam van McAfee, dat de malware ontdekte en Google op de hoogte bracht van de dreiging. McAfee is lid van de Google App Defense Alliance, die zich inzet om Google Play vrij te houden van virussen en spyware.
Google bracht de ontwikkelaars op de hoogte, die de schadelijke bibliotheek uit de getroffen apps verwijderden. Degenen die niet op tijd antwoordden, kregen hun apps verwijderd van Google Play omdat ze de normen van de winkel schonden.
Gebruikers die een getroffen app uit Google Play hebben gedownload, kunnen het risico beperken door de meest recente beschikbare update te installeren. Maar zelfs als gebruikers deze voorzorgsmaatregelen nemen, staat Goldoson ook in Android app stores van derden. De kans dat deze nog steeds de bibliotheek bevatten is groot.
Gebruikers kunnen weten of malware hun toestel heeft geïnfecteerd als het abnormaal warm wordt, de batterij snel leegloopt of ongewoon veel internet of data verbruikt – zelfs als het toestel niet in gebruik is.
Hoe werkt het?
Wanneer een gebruiker een Goldoson-bevattende app uitvoert, registreert de bibliotheek het apparaat en verkrijgt de configuratie van een versleutelde externe server. De configuratie dicteert de gegevens-stelende en advertentie-klikkende functies die Goldoson op het geïnfecteerde apparaat moet uitvoeren en hoe vaak.
Elke twee dagen start het mechanisme voor het verzamelen van gegevens. Het stuurt dan een lijst met geïnstalleerde apps, geografische locatiegeschiedenis, MAC-adressen van via Bluetooth en WiFi verbonden apparaten en andere informatie naar de C2-server. De hoeveelheid verzamelde gegevens wordt bepaald door de machtigingen die aan de geïnfecteerde app zijn verleend tijdens de installatie en door de Android-versie.
9 uur geleden
