Az adatokat lopni és kattintásos csalásokat elkövető rosszindulatú programok 60 mobilalkalmazásba csaptak be egy fertőzött harmadik féltől származó könyvtáron keresztül. A fertőzött alkalmazások több mint 100 millió letöltést regisztráltak a hivatalos Google Play Áruházból, és Dél-Korea más alkalmazásboltjaiban is elérhetők – állapították meg a kutatók.
A McAfee Labs kutatói által felfedezett és elnevezett Goldoson számos aljas tevékenységet tud végrehajtani Android-alapú eszközökön. egy blogbejegyzést. A rosszindulatú program összegyűjtheti a telepített alkalmazások listáját, valamint Wi-Fi-n és Bluetooth-on keresztül kiszagolhatja a közeli eszközök helyét. A kutatók szerint hirdetési csalást is végrehajthat, ha a háttérben a felhasználók beleegyezése vagy tudta nélkül rákattint a hirdetésekre.
A Goldoson által érintett népszerű alkalmazások közé tartozik az L.POINT with L.PAY, a Swipe Brick Breaker, a Money Manager Expense & Budget, a Lotte Cinema, a Live Score és a GOM. A kutatók több mint 100 millió fertőzött alkalmazás letöltését találták a Google Playen, és 8 milliót a ONE-ban, Dél-Korea vezető mobilalkalmazás-áruházában.
A McAfee bejelentette a fertőzött alkalmazásokat a Google-nak, amely gyorsan értesítette a fejlesztőket, hogy alkalmazásaik sértik a Google Play irányelveit, és ki kell javítaniuk alkalmazásaikat – közölték a kutatók. A bejegyzésükben nem említik, hogy felvették-e a kapcsolatot a ONE alkalmazásbolttal.
Néhány alkalmazást azonnal eltávolítottak a Google Playről, míg másokat a hivatalos fejlesztők frissítettek. A McAfee arra ösztönzi az érintett alkalmazások felhasználóit – amelyek listája a bejegyzésben található –, hogy frissítsék azokat a legújabb verzióra, hogy eltávolítsák a Goldoson nyomait az eszközeikről.
„Bár a rosszindulatú könyvtárat valaki más készítette, nem az alkalmazásfejlesztők, az alkalmazások telepítőit fenyegető kockázat továbbra is fennáll” – írta a bejegyzésben SangRyol Ryu, a McAfee mobilkutatócsapatának munkatársa.
Hogyan működik a Goldoson
A Goldoson könyvtár azonnal regisztrálja az eszközt, miután megfertőzte, és távoli konfigurációkat szerez be egy parancs- és vezérlőkiszolgálóról (C2), amikor az alkalmazás egyidejűleg fut. Kikerüli az észlelést azáltal, hogy minden egyes alkalmazásnál megváltoztatja és elhomályosítja a könyvtár nevét és a távoli kiszolgáló tartományát; A fejlesztők „Goldoson”-nak nevezték el, mert ez az első domain név, amit találtak – mondták.
A távoli konfiguráció tartalmazza az alkalmazás egyes funkcióinak paramétereit, és meghatározza, hogy milyen gyakran futtassa az összetevőket.
„A paraméterek alapján a könyvtár időszakonként ellenőrzi, lekéri az eszközinformációkat, és elküldi azokat a távoli szervereknek” – írta Ryu.
A Goldoson azon képessége, hogy adatokat gyűjtsön az eszköz összes alkalmazásából, a „QUERY_ALL_PACKAGES” nevű engedélyből származik, amelyet az eszköztől kér. A kutatók szerint az Android 11-es vagy újabb verzióját futtató eszközök felhasználói jobban védettek ezzel a lekérdezéssel szemben, és a McAfee által megfigyelt eseteknek csak körülbelül 10 százaléka mutat sebezhetőséget.
A rosszindulatú program engedélyeket kér a helyhez, a tárhelyhez vagy a kamerához való hozzáféréshez futás közben az Android 6.0 vagy újabb rendszert futtató eszközökről. Ha engedélyezik a helymeghatározási engedélyt, a fertőzött alkalmazás nem csak a GPS-adatokhoz, hanem a közeli eszközökről származó Wi-Fi- és Bluetooth-információkhoz is hozzáférhet, ami nagyobb pontosságot biztosít a fertőzött eszköz helyének meghatározásában, különösen beltéren - jegyezték meg a kutatók, hozzátéve, hogy a felhasználók tartózkodási helyének azonosítása vagy felderítése további rosszindulatú tevékenységek kockázatának teszi ki őket.
A Goldoson a felhasználó tudta nélkül is képes betölteni weboldalakat – ez a funkció, amellyel a támadók visszaélhetnek hirdetések betöltésére pénzügyi haszonszerzés céljából, mondták a kutatók. Technikai értelemben ez azért működik, mert a könyvtár betölti a HTML-kódot, és beilleszti egy testreszabott és rejtett WebView-ba, majd rejtett forgalmat generál az URL-ek rekurzív meglátogatásával - magyarázták.
A Goldoson kétnaponta elküldi az eszközökről gyűjtött adatokat a támadóknak, akik távoli konfigurációval módosíthatják ezt a ciklust.
Harmadik fél mobilalkalmazás-komponensének kockázata
A Goldoson létezése ismét megmutatja, milyen gyorsan terjedhet a rosszindulatú tevékenység, ha olyan harmadik féltől származó vagy nyílt forráskódú összetevők része, amelyeket a fejlesztők anélkül építenek be az alkalmazásokba, hogy tudnák, hogy fertőzöttek – jegyezték meg a kutatók.
Ezt jól dokumentálták a Apache Log4j összeomlás – amelyben egy szinte minden Java-környezetben használt naplózókönyvtár könnyen kihasználható sebezhetőséget tartalmaz. A a Log4j következményei - ami volt endemikus kiberfenyegetésnek nyilvánította a Nemzetbiztonsági Minisztérium, mert hány meglévő alkalmazás sebezhetőek maradnak – valószínűleg még évekig érezhető lesz.
Valójában a támadók nem vesztették el azt a képességet, hogy gyorsan és anélkül, hogy a szervezetek vagy a fejlesztők tudtak volna – és így még mielőtt reagálhatnának – nagy kártékony lábnyomot szerezhetnének. Erre válaszul egyre gyakrabban veszik célba a szoftverellátási láncot rosszindulatú programokkal vagy a Log4j és más ismert sérülékenységek kizsákmányolásával – és továbbra is ezt fogják tenni sikereik növekedésével, jegyzi meg egy biztonsági szakértő.
„A támadók egyre kifinomultabbak, amikor az egyébként legitim alkalmazásokat platformokon keresztül próbálják megfertőzni” – mondja Kern Smith, a Zimperium mobilbiztonsági cég amerikai értékesítési tervezésért felelős alelnöke.
Az átláthatóság iránti igény
A szakértők szerint úgy tűnik, hogy a szervezetek és a fejlesztői csapatok közötti átláthatóság a legjobb módja a szoftverellátási lánc problémáinak enyhítésére.
Mind a fejlesztőknek, mind a nyílt forráskódú vagy harmadik féltől származó összetevőket tartalmazó alkalmazásokat használó szervezeteknek „fel kell mérniük ezeknek az alkalmazásoknak és összetevőiknek kockázatait, különösen ami a szoftverjegyzéket (SBOM) illeti”, amely leltárt ad arról, hogy mit tartalmaz szoftverösszetevők, mondja Smith.
A McAfee kutatói szerint a fejlesztőknek készen kell állniuk arra, hogy felfedjék, milyen könyvtárakat és egyéb összetevőket használnak az általuk fejlesztett és szállított alkalmazásokban, hogy megvédjék a felhasználókat, és megakadályozzák a fertőzött vagy sebezhető összetevők általi kompromittációt.
A külső könyvtárak fejlesztőinek is átláthatónak kell lenniük a kódjukkal kapcsolatban, hogy az őket hasznosító szervezetek és fejlesztők megértsék viselkedésüket, és így gyorsan tájékozódjanak az esetlegesen felmerülő problémákról.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
- Forrás: https://www.darkreading.com/remote-workforce/goldoson-malware-google-play-apps-100m-downloads
- :van
- :is
- $ UP
- 10
- 100
- 100M
- 11
- 7
- 8
- a
- képesség
- Rólunk
- felett
- visszaélés
- hozzáférés
- pontosság
- megszerzése
- át
- tevékenységek
- tevékenység
- Ad
- hirdetések
- Után
- Minden termék
- Americas
- és a
- android
- bármilyen
- app
- app store
- megjelenik
- Alkalmazás
- alkalmazások
- alkalmazások
- VANNAK
- AS
- At
- Kísérletek
- elérhető
- háttér
- alapján
- BE
- mert
- egyre
- óta
- előtt
- BEST
- Számla
- Blog
- Bluetooth
- költségvetés
- épít
- by
- hívott
- szoba
- TUD
- esetek
- lánc
- változik
- Ellenőrzések
- mozi
- kettyenés
- kód
- gyűjt
- hogyan
- elkövetni
- alkatrészek
- kompromisszum
- Configuration
- beleegyezés
- tartalmaz
- tartalmaz
- folytatódik
- szabott
- ciklus
- dátum
- Nap
- szállít
- mutatja
- bemutatását,
- osztály
- belbiztonsági osztály
- Érzékelés
- Fejleszt
- fejlesztők
- eszköz
- Eszközök
- felfedez
- felfedezett
- domain
- Domain név
- letöltések
- szinkronizált
- minden
- könnyen
- bátorító
- Mérnöki
- környezetek
- különösen
- Minden
- létező
- szakértő
- szakértők
- magyarázható
- hasznosítja
- külső
- pénzügyi
- Cég
- vezetéknév
- Rögzít
- Lábnyom
- A
- talált
- csalás
- ból ből
- funkciós
- funkcionalitás
- további
- Nyereség
- ad
- A Google Play
- Google Play Áruház
- gps
- Legyen
- Rejtett
- <p></p>
- haza
- Homeland Security
- Hogyan
- HTML
- HTTPS
- azonosítani
- in
- tartalmaz
- egyre inkább
- info
- információ
- telepítve
- leltár
- kérdés
- kérdések
- IT
- Jáva
- jpg
- Ismerve
- tudás
- ismert
- korea
- Labs
- nagy
- legutolsó
- vezető
- erőfölény
- könyvtárak
- könyvtár
- Valószínű
- Lista
- listák
- él
- kiszámításának
- terhelések
- elhelyezkedés
- log4j
- készült
- malware
- menedzser
- sok
- anyagok
- Lehet..
- McAfee
- millió
- Enyhít
- Mobil
- Mobil alkalmazás
- mobile Security
- mobil-alkalmazásokat
- pénz
- több
- SZERELJÜK
- név
- Nevezett
- közel
- Szükség
- neves
- megállapítja,
- of
- hivatalos
- on
- ONE
- nyitva
- nyílt forráskódú
- szervezetek
- Más
- Egyéb
- másképp
- paraméterek
- rész
- Fizet
- százalék
- Teljesít
- engedély
- engedélyek
- Platformok
- Plató
- Platón adatintelligencia
- PlatoData
- játszani
- Play Áruház
- pont
- Politikák
- Népszerű
- állás
- elnök
- megakadályozása
- védelme
- védett
- biztosít
- Húz
- helyezi
- gyorsan
- Reagál
- nyilvántartások
- maradványok
- távoli
- eltávolítása
- eltávolított
- Számolt
- kéri
- kutatás
- kutatók
- válasz
- mutatják
- Kockázat
- kockázatok
- futás
- s
- Mondott
- értékesítés
- azt mondja,
- pontszám
- biztonság
- Szerverek
- kellene
- egyszerre
- So
- szoftver
- Valaki
- kifinomult
- forrás
- Dél
- Dél-Korea
- terjedése
- tárolás
- tárolni
- árnyékolók
- kínálat
- ellátási lánc
- célzás
- csapat
- csapat
- Műszaki
- feltételek
- hogy
- A
- azok
- Őket
- Ezek
- harmadik fél
- nak nek
- Nyom
- forgalom
- átlátszó
- megért
- Frissítések
- frissítve
- használt
- használó
- Felhasználók
- fajta
- változat
- keresztül
- Alelnök
- Sértés
- sérülékenységek
- sebezhetőség
- Sebezhető
- Út..
- háló
- JÓL
- Mit
- ami
- míg
- WHO
- Wi-fi
- lesz
- hajlandó
- val vel
- nélkül
- művek
- év
- zephyrnet
