Nova vrsta malicioznog softvera za Android pod nazivom Goldoson otkrivena je u službenoj Google Play trgovini koja obuhvata više od 60 legitimnih aplikacija koje zajedno imaju preko 100 miliona preuzimanja.
Dodatnih osam miliona instalacija je praćeno preko ONE trgovine, vodećeg izloga aplikacija treće strane u Južnoj Koreji.
Lažna komponenta je dio softverske biblioteke treće strane koju koriste dotične aplikacije i sposobna je prikupljati informacije o instaliranim aplikacijama, Wi-Fi i Bluetooth povezanim uređajima i GPS lokacijama.
„Štaviše, biblioteka je naoružana funkcionalnošću da vrši prevaru s oglasima klikom na reklame u pozadini bez pristanka korisnika“ rekao je istraživač sigurnosti McAfee-a SangRyol Ryu u izvještaju objavljenom prošle sedmice.
Uključuje mogućnost prikrivenog učitavanja web stranica, funkciju koja bi se mogla zloupotrijebiti za učitavanje oglasa radi finansijske dobiti. To postiže učitavanjem HTML koda u skriveni WebView i usmjeravanjem prometa na URL-ove.
Nakon odgovornog otkrivanja Google-u, 36 od 63 povrijeđene aplikacije povučene su iz Google Play trgovine. Preostalih 27 aplikacija je ažurirano kako bi se uklonila maliciozna biblioteka.
Neke od istaknutih aplikacija uključuju:
- L.POINT with L.PAY
- Swipe Brick Breaker (uklonjeno)
- Money Manager Expense & Budget
- TMAP – Delegat, parking, punjenje električnih vozila, kickboard na T-mapu!
- Lotte Cinema
- Genie Music
- Culture Cash
- GOM Player
- Megabox (uklonjen)
- LIVE Score, Real-Time Score
Nalazi naglašavaju potrebu da programeri aplikacija budu transparentni u vezi sa ovisnostima koje se koriste u njihovom softveru, a da ne spominjemo da preduzmu adekvatne korake kako bi zaštitili informacije korisnika od takve zloupotrebe.
“Napadači postaju sve sofistikovaniji u svojim pokušajima da zaraze inače legitimne aplikacije na različitim platformama” rekao je Kern Smith, potpredsjednik prodajnog inženjeringa za Ameriku u Zimperium-u.
“Upotreba SDK-ova i koda trećih strana i njihov potencijal za uvođenje malicioznog koda u inače legitimne aplikacije samo nastavlja rasti kako napadači počinju ciljati lanac nabavke softvera kako bi stekli najveći mogući otisak.”
Glasnogovornik Google-a rekao je za Hacker News da poduzimaju potrebne mjere “kada pronađemo aplikacije koje krše naša pravila” i da je obavijestio programere da implementiraju potrebne popravke kako bi aplikacije bile usklađene.
“Korisnici su takođe zaštićeni Google Play Protect-om, koji može upozoriti korisnike na identifikovane maliciozne aplikacije na Android uređajima” dodao je tehnološki gigant.
Razvoj dolazi kada je Cyble otkrio novi Android bankovni trojanac nazvan Chameleon koji je aktivan od januara 2023. godine i cilja na korisnike u Australiji i Poljskoj.
Trojanac se ne razlikuje od drugog bankarskog malicioznog softvera uočenog u divljini zbog zloupotrebe Androidovih usluga pristupačnosti za prikupljanje kredencijala i kolačića, evidentiranje pritisaka na tipke, sprečavanje njegovog deinstaliranja i obavljanje drugih malicioznih aktivnosti.
Takođe je dizajniran da prikaže lažna preklapanja na vrhu određene liste aplikacija, presretne SMS poruke, pa čak sadrži i neiskorištenu funkcionalnost koja mu omogućava preuzimanje i izvršavanje drugog payload-a.
Chameleon, istinit svom imenu, ima sklonost izbjegavanju tako što uključuje anti-emulacijske provjere kako bi otkrio da li je uređaj ukorijenjen ili se izvršava u okruženju za otklanjanje grešaka, i ako je tako, ukinuo se sam.
Da bi ublažili takve pretnje, korisnicima se preporučuje da preuzimaju aplikacije samo iz pouzdanih izvora, pažljivo provjeravaju dozvole aplikacija, koriste jake lozinke, omoguće višefaktorsku autentifikaciju i budu oprezni kada primaju SMS ili email od nepoznatih pošiljatelja.
Izvor: The Hacker News
