Malware die gegevens kan stelen en klikfraude kan plegen, is via een geïnfecteerde bibliotheek van derden in 60 mobiele apps terechtgekomen. De geïnfecteerde apps hebben meer dan 100 miljoen downloads geregistreerd vanuit de officiële Google Play Store en zijn beschikbaar in andere app-stores in Zuid-Korea, zo hebben onderzoekers ontdekt.
Goldoson, ontdekt en genoemd door onderzoekers van McAfee Labs, kan een verscheidenheid aan snode activiteiten uitvoeren op Android-apparaten, zeiden ze in een blogpost. De malware kan lijsten met geïnstalleerde applicaties verzamelen en de locatie van apparaten in de buurt opsporen via Wi-Fi en Bluetooth. Het kan ook advertentiefraude plegen door op advertenties op de achtergrond te klikken zonder toestemming of medeweten van de gebruiker, aldus de onderzoekers.
Enkele van de populaire apps waarop Goldoson invloed heeft, zijn L.POINT met L.PAY, Swipe Brick Breaker, Money Manager Expense & Budget, Lotte Cinema, Live Score en GOM. De onderzoekers vonden meer dan 100 miljoen downloads van geïnfecteerde apps op Google Play en 8 miljoen op ONE, de grootste mobiele app-winkel van Zuid-Korea, zeiden ze.
McAfee rapporteerde de geïnfecteerde apps aan Google, die ontwikkelaars snel op de hoogte bracht van het feit dat hun apps in strijd waren met het Google Play-beleid en dat ze hun apps moesten repareren, aldus de onderzoekers. Ze vermelden niet in hun bericht of ze contact hebben opgenomen met de ONE app store.
Sommige apps zijn volledig van Google Play verwijderd, terwijl andere zijn bijgewerkt door de officiële ontwikkelaars. McAfee moedigt gebruikers van alle getroffen apps (waarvan een lijst in de post staat) aan om ze bij te werken naar de nieuwste versie om elk spoor van Goldoson van hun apparaten te verwijderen.
“Hoewel de kwaadaardige bibliotheek door iemand anders is gemaakt en niet door de app-ontwikkelaars, blijft het risico voor de installateurs van de apps bestaan”, schreef SangRyol Ryu van het mobiele onderzoeksteam van McAfee in de post.
Hoe Goldoson werkt
De Goldoson-bibliotheek registreert een apparaat direct nadat het het heeft geïnfecteerd, en verkrijgt externe configuraties van een command-and-control-server (C2) terwijl de app tegelijkertijd wordt uitgevoerd. Het omzeilt detectie door bij elke toepassing de bibliotheeknaam en het externe serverdomein te variëren en te verhullen; ontwikkelaars noemden het ‘Goldoson’, omdat dit de eerste domeinnaam is die ze vonden, zeiden ze.
Een externe configuratie bevat de parameters voor elk van de functionaliteiten van de app en specificeert hoe vaak de componenten worden uitgevoerd.
“Op basis van de parameters controleert de bibliotheek periodiek de apparaatinformatie, haalt deze op en stuurt deze naar de externe servers”, schreef Ryu.
De mogelijkheid van Goldoson om gegevens te verzamelen van alle apps op het apparaat komt voort uit een toestemming genaamd "QUERY_ALL_PACKAGES", die wordt aangevraagd bij het apparaat. Gebruikers van apparaten waarop Android-versie 11 of hoger is geïnstalleerd lijken beter beschermd te zijn tegen deze vraag, waarbij slechts ongeveer 10 procent van de door McAfee waargenomen gevallen kwetsbaarheid aantoont, aldus de onderzoekers.
De malware vraagt tijdens runtime toestemming voor toegang tot de locatie, opslag of de camera vanaf apparaten met Android 6.0 of hoger. Als locatietoestemming is toegestaan, heeft de geïnfecteerde app niet alleen toegang tot GPS-gegevens, maar ook tot Wi-Fi- en Bluetooth-informatie van apparaten in de buurt, wat hen meer nauwkeurigheid geeft bij het lokaliseren van het geïnfecteerde apparaat, vooral binnenshuis, merkten de onderzoekers op, en voegde eraan toe dat de mogelijkheid om het identificeren of ontdekken van de locatie van gebruikers brengt hen in gevaar voor verdere kwaadwillige activiteiten.
Goldoson kan ook webpagina's laden zonder dat de gebruiker het weet – een functionaliteit die aanvallers kunnen misbruiken om advertenties te laden voor financieel gewin, aldus de onderzoekers. In technische termen werkt dit omdat de bibliotheek HTML-code laadt en deze in een aangepaste en verborgen WebView injecteert en vervolgens verborgen verkeer genereert door de URL's recursief te bezoeken, legden ze uit.
Goldoson verzendt elke twee dagen de gegevens die het van apparaten verzamelt naar de aanvallers, die deze cyclus kunnen wijzigen met behulp van configuratie op afstand.
Risico van componenten van mobiele apps van derden
Het bestaan van Goldoson laat eens te meer zien hoe snel kwaadaardige activiteiten zich kunnen verspreiden als het onderdeel is van componenten van derden of open source die ontwikkelaars in applicaties inbouwen zonder te weten dat ze geïnfecteerd zijn, merkten de onderzoekers op.
Dit werd goed gedocumenteerd in de Apache Log4j-debacle – waarin een logbibliotheek die in bijna alle Java-omgevingen wordt gebruikt, een gemakkelijk te misbruiken kwetsbaarheid bleek te bevatten. De gevolgen van Log4j - wat is geweest uitgeroepen tot een endemische cyberdreiging door het Department of Homeland Security vanwege het grote aantal bestaande aanvragen kwetsbaar blijven – zal waarschijnlijk nog jaren voelbaar zijn.
Dit vermogen om snel en zonder dat organisaties of ontwikkelaars het weten – en dus voordat ze kunnen reageren – een grote kwaadaardige voetafdruk te verwerven, is niet verloren gegaan voor aanvallers. Als reactie daarop richten ze zich steeds meer op de softwaretoeleveringsketen met malware of exploits voor Log4j en andere bekende kwetsbaarheden – en zullen dit blijven doen naarmate hun successen toenemen, merkt een beveiligingsexpert op.
“Aanvallers worden steeds geavanceerder in hun pogingen om anderszins legitieme applicaties op verschillende platforms te infecteren”, zegt Kern Smith, vice-president voor Amerika voor verkooptechniek bij mobiel beveiligingsbedrijf Zimperium.
Vraag naar transparantie
Transparantie tussen organisaties en ontwikkelaarsteams lijkt de beste manier om problemen met de softwareleveringsketen te verminderen, aldus experts.
Zowel ontwikkelaars als organisaties die applicaties gebruiken die open source componenten of componenten van derden bevatten “moeten de risico’s van deze applicaties en hun componenten beoordelen, vooral als het gaat om een software bill of materials (SBOM)”, die een inventarisatie geeft van wat er in zit. softwarecomponenten, zegt Smith.
Ontwikkelaars zouden bereid moeten zijn om te onthullen welke bibliotheken en andere componenten worden gebruikt in de applicaties die ze ontwikkelen en leveren om gebruikers te beschermen en compromittering via geïnfecteerde of kwetsbare componenten te voorkomen, aldus McAfee-onderzoekers.
Ontwikkelaars van externe bibliotheken moeten ook transparant zijn over hun code, zodat organisaties en ontwikkelaars die deze gebruiken hun gedrag kunnen begrijpen en zich dus snel bewust kunnen zijn van eventuele problemen die zich kunnen voordoen, zeiden ze.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Bron: https://www.darkreading.com/remote-workforce/goldoson-malware-google-play-apps-100m-downloads
- : heeft
- :is
- $UP
- 10
- 100
- 100M
- 11
- 7
- 8
- a
- vermogen
- Over
- boven
- misbruik
- toegang
- nauwkeurigheid
- verwerven
- over
- activiteiten
- activiteit
- Ad
- advertenties
- Na
- Alles
- Amerika
- en
- android
- elke
- gebruiken
- app store
- verschijnen
- Aanvraag
- toepassingen
- apps
- ZIJN
- AS
- At
- pogingen
- Beschikbaar
- achtergrond
- gebaseerde
- BE
- omdat
- worden
- geweest
- vaardigheden
- BEST
- Bill
- Blog
- Bluetooth
- begroting
- bouw
- by
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- camera
- CAN
- gevallen
- keten
- verandering
- Controles
- Cinema
- Klik
- code
- verzamelen
- hoe
- plegen
- componenten
- compromis
- Configuratie
- toestemming
- bevatten
- bevat
- voortzetten
- aangepaste
- cyclus
- gegevens
- dagen
- leveren
- demonstreert
- demonstrating
- afdeling
- Department of Homeland Security
- Opsporing
- ontwikkelen
- ontwikkelaars
- apparaat
- systemen
- Onthul Nu
- ontdekt
- domein
- domeinnaam
- downloads
- nagesynchroniseerde
- elk
- gemakkelijk
- bemoedigend
- Engineering
- omgevingen
- vooral
- Alle
- bestaand
- expert
- deskundigen
- uitgelegd
- exploits
- extern
- financieel
- Stevig
- Voornaam*
- Bepalen
- Footprint
- Voor
- gevonden
- bedrog
- oppompen van
- functionaliteiten
- functionaliteit
- verder
- Krijgen
- geeft
- Kopen Google Reviews
- Google Play
- Google Play Store
- gps
- Hebben
- verborgen
- hoger
- vaderland
- Homeland Security
- Hoe
- HTML
- HTTPS
- identificeren
- in
- omvatten
- in toenemende mate
- info
- informatie
- geïnstalleerd
- inventaris
- kwestie
- problemen
- IT
- Java
- jpg
- Weten
- kennis
- bekend
- Korea
- Labs
- Groot
- laatste
- leidend
- leveraging
- bibliotheken
- Bibliotheek
- Waarschijnlijk
- Lijst
- lijsten
- leven
- laden
- ladingen
- plaats
- log4j
- gemaakt
- malware
- manager
- veel
- materieel
- Mei..
- Mcafee
- miljoen
- Verzachten
- Mobile
- Applicatie voor de mobiele telefoon
- Mobile Security
- mobiele apps
- geld
- meer
- MOUNT
- naam
- Genoemd
- bijna
- Noodzaak
- bekend
- merkt op
- of
- officieel
- on
- EEN
- open
- open source
- organisaties
- Overige
- Overig
- anders-
- parameters
- deel
- Betaal
- procent
- Uitvoeren
- toestemming
- permissies
- platforms
- Plato
- Plato gegevensintelligentie
- PlatoData
- Spelen
- Play Store
- punt
- beleidsmaatregelen door te lezen.
- Populair
- Post
- president
- voorkomen
- beschermen
- beschermd
- biedt
- Truien
- puts
- snel
- Reageren
- register
- stoffelijk overschot
- vanop
- verwijderen
- verwijderd
- gemeld
- verzoeken
- onderzoek
- onderzoekers
- antwoord
- onthullen
- Risico
- risico's
- lopend
- s
- Zei
- verkoop
- zegt
- partituur
- veiligheid
- Servers
- moet
- gelijktijdig
- So
- Software
- Iemand
- geraffineerd
- bron
- Zuiden
- Zuid-Korea
- verspreiden
- mediaopslag
- shop
- winkels
- leveren
- toeleveringsketen
- targeting
- team
- teams
- Technisch
- termen
- dat
- De
- hun
- Ze
- Deze
- van derden
- naar
- Opsporen
- verkeer
- transparant
- begrijpen
- bijwerken
- bijgewerkt
- gebruikt
- Gebruiker
- gebruikers
- variëteit
- versie
- via
- Vice President
- OVERTREDING
- kwetsbaarheden
- kwetsbaarheid
- Kwetsbaar
- Manier..
- web
- GOED
- Wat
- welke
- en
- WIE
- Wi-fi
- wil
- gewillig
- Met
- zonder
- Bedrijven
- jaar
- zephyrnet
