Skadelig programvare som kan stjele data og begå klikksvindel har fått en tur inn i 60 mobilapper, via et infisert tredjepartsbibliotek. De infiserte appene har logget mer enn 100 millioner nedlastinger fra den offisielle Google Play-butikken og er tilgjengelige i andre appbutikker i Sør-Korea, har forskere funnet.
Goldoson, oppdaget og navngitt av forskere ved McAfee Labs, kan utføre en rekke ufyselige aktiviteter på Android-baserte enheter, sa de i et blogginnlegg. Skadevaren kan samle lister over installerte applikasjoner, samt snuse opp plasseringen av enheter i nærheten via Wi-Fi og Bluetooth. Den kan også utføre annonsesvindel ved å klikke annonser i bakgrunnen uten brukerens samtykke eller kunnskap, sa forskerne.
Noen av de populære appene som påvirkes av Goldoson inkluderer L.POINT med L.PAY, Swipe Brick Breaker, Money Manager Expense & Budget, Lotte Cinema, Live Score og GOM. Forskerne fant mer enn 100 millioner nedlastinger av infiserte apper på Google Play, og 8 millioner på ONE, Sør-Koreas ledende mobilappbutikk, sa de.
McAfee rapporterte de infiserte appene til Google, som raskt varslet utviklerne om at appene deres var i strid med Google Plays retningslinjer og at de måtte fikse appene deres, sa forskerne. De nevner ikke i innlegget sitt om de kontaktet ONE app store.
Noen apper ble fjernet fra Google Play direkte, mens andre ble oppdatert av de offisielle utviklerne. McAfee oppfordrer brukere av alle de berørte appene – en liste over disse er i innlegget – til å oppdatere dem til den nyeste versjonen for å fjerne spor av Goldoson fra enhetene deres.
"Selv om det ondsinnede biblioteket ble laget av noen andre, ikke apputviklerne, forblir risikoen for installatører av appene," skrev SangRyol Ryu fra McAfees mobilforskningsteam i innlegget.
Hvordan Goldoson fungerer
Goldoson-biblioteket registrerer en enhet rett etter at den infiserer den, og henter eksterne konfigurasjoner fra en kommando-og-kontrollserver (C2) mens appen kjører samtidig. Den unngår gjenkjenning ved både å variere og tilsløre biblioteknavnet og det eksterne serverdomenet med hver applikasjon; utviklere kalte det "Goldoson", fordi dette er det første domenenavnet de fant, sa de.
En ekstern konfigurasjon inneholder parametrene for hver av appens funksjoner og spesifiserer hvor ofte den kjører komponentene.
"Basert på parametrene sjekker biblioteket med jevne mellomrom, henter enhetsinformasjon og sender dem til de eksterne serverne," skrev Ryu.
Goldosons evne til å samle inn data fra alle appene på enheten kommer fra en tillatelse kalt «QUERY_ALL_PACKAGES» som den ber om fra enheten. Brukere av enheter med Android versjon 11 eller nyere installert ser ut til å være mer beskyttet mot denne spørringen, med bare rundt 10 prosent av tilfellene observert av McAfee viser sårbarhet, sa forskerne.
Skadevaren ber om tillatelser til å få tilgang til plassering, lagring eller kameraet under kjøring fra enheter som kjører Android 6.0 eller nyere. Hvis plasseringstillatelse er tillatt, kan den infiserte appen ikke bare få tilgang til GPS-data, men også Wi-Fi- og Bluetooth-informasjon fra enheter i nærheten, noe som gir dem mer nøyaktighet i å lokalisere den infiserte enheten, spesielt innendørs, bemerket forskerne, og la til at muligheten til å identifisere eller oppdage plasseringen til brukere setter dem i fare for ytterligere ondsinnet aktivitet.
Goldoson kan også laste inn nettsider uten at brukeren vet det – en funksjon som angripere kan misbruke for å laste inn annonser for økonomisk gevinst, sa forskerne. I tekniske termer fungerer dette fordi biblioteket laster HTML-kode og injiserer den i en tilpasset og skjult WebView, for deretter å produsere skjult trafikk ved å besøke URL-ene rekursivt, forklarte de.
Goldoson sender data den samler inn fra enheter ut annenhver dag til angriperne, som kan endre denne syklusen ved hjelp av ekstern konfigurasjon.
Tredjeparts mobilappkomponentrisiko
Eksistensen av Goldoson viser nok en gang hvor raskt ondsinnet aktivitet kan spre seg når det er en del av tredjeparts- eller åpen kildekodekomponenter som utviklere bygger inn i applikasjoner uten å vite at de er infisert, bemerket forskerne.
Dette ble godt dokumentert i Apache Log4j-debakel - der et loggbibliotek brukt i nesten alle Java-miljøer ble funnet å inneholde en lett utnyttbar sårbarhet. De ettervirkninger av Log4j – som har vært erklærte en endemisk nettrussel av Department of Homeland Security på grunn av hvor mange eksisterende søknader forbli sårbare – vil trolig merkes i årene som kommer.
Faktisk har denne evnen til å få et stort ondsinnet fotavtrykk raskt og uten at organisasjoner eller utviklere vet det – og dermed før de kan reagere – ikke gått tapt for angripere. Som svar retter de seg i økende grad mot programvareforsyningskjeden med skadelig programvare eller utnyttelser for Log4j og andre kjente sårbarheter – og vil fortsette å gjøre det etter hvert som suksessene deres øker, observerer en sikkerhetsekspert.
"Angripere blir mer sofistikerte i sine forsøk på å infisere ellers legitime applikasjoner på tvers av plattformer," sier Kern Smith, visepresident for Americas for salgsingeniør hos mobilsikkerhetsfirmaet Zimperium.
Krav om åpenhet
Åpenhet på tvers av organisasjoner og utviklernes team ser ut til å være den beste måten å redusere problemer i programvareforsyningskjeden, sa eksperter.
Både utviklere og organisasjoner som bruker applikasjoner som inkluderer åpen kildekode eller tredjepartskomponenter "må vurdere risikoen ved disse applikasjonene og komponentene deres, spesielt når det gjelder en programvareliste (SBOM)," som gir en oversikt over hva som omfatter programvarekomponenter, sier Smith.
Utviklere bør faktisk være villige til å avsløre hvilke biblioteker og andre komponenter som brukes i applikasjoner de utvikler og leverer for å beskytte brukere og forhindre kompromisser via infiserte eller sårbare komponenter, sa McAfee-forskere.
Utviklere av eksterne biblioteker må også være transparente om koden deres, slik at organisasjoner og utviklere som utnytter dem kan forstå deres oppførsel og dermed være raskt oppmerksomme på ethvert problem som kan oppstå, sa de.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- Minting the Future med Adryenn Ashley. Tilgang her.
- kilde: https://www.darkreading.com/remote-workforce/goldoson-malware-google-play-apps-100m-downloads
- : har
- :er
- $OPP
- 10
- 100
- 100M
- 11
- 7
- 8
- a
- evne
- Om oss
- ovenfor
- misbruk
- adgang
- nøyaktighet
- anskaffe
- tvers
- Aktiviteter
- aktivitet
- Ad
- annonser
- Etter
- Alle
- Americas
- og
- android
- noen
- app
- app store
- vises
- Søknad
- søknader
- apps
- ER
- AS
- At
- forsøk
- tilgjengelig
- bakgrunn
- basert
- BE
- fordi
- bli
- vært
- før du
- BEST
- Bill
- Blogg
- blåtann
- budsjett
- bygge
- by
- som heter
- rom
- CAN
- saker
- kjede
- endring
- Sjekker
- Kino
- klikk
- kode
- samle
- Kom
- forplikte
- komponenter
- kompromiss
- Konfigurasjon
- samtykke
- inneholde
- inneholder
- fortsette
- tilpasset
- syklus
- dato
- Dager
- leverer
- demonstrerer
- demonstrere
- Avdeling
- innenriksdepartementet
- Gjenkjenning
- utvikle
- utviklere
- enhet
- Enheter
- oppdage
- oppdaget
- domene
- Domain Name
- nedlastinger
- dubbet
- hver enkelt
- lett
- oppmuntrende
- Ingeniørarbeid
- miljøer
- spesielt
- Hver
- eksisterende
- Expert
- eksperter
- forklarte
- exploits
- utvendig
- finansiell
- Firm
- Først
- Fix
- Fotspor
- Til
- funnet
- svindel
- fra
- funksjonalitet
- funksjonalitet
- videre
- Gevinst
- gir
- Google Play
- Google Play-butikken
- gps
- Ha
- skjult
- høyere
- hjemland
- Homeland Security
- Hvordan
- HTML
- HTTPS
- identifisere
- in
- inkludere
- stadig
- info
- informasjon
- installerte
- inventar
- utstedelse
- saker
- IT
- Java
- jpg
- Knowing
- kunnskap
- kjent
- korea
- Labs
- stor
- siste
- ledende
- utnytte
- bibliotekene
- Bibliotek
- Sannsynlig
- Liste
- lister
- leve
- laste
- laster
- plassering
- log4j
- laget
- malware
- leder
- mange
- materialer
- Kan..
- Mcafee
- millioner
- Minske
- Mobil
- Mobilapp
- mobil sikkerhet
- mobil-apps
- penger
- mer
- MONTER
- navn
- oppkalt
- nesten
- Trenger
- bemerket
- Observerer
- of
- offisiell
- on
- ONE
- åpen
- åpen kildekode
- organisasjoner
- Annen
- andre
- ellers
- parametere
- del
- Betale
- prosent
- Utfør
- tillatelse
- tillatelser
- Plattformer
- plato
- Platon Data Intelligence
- PlatonData
- Spille
- Play-butikken
- Point
- Politikk
- Populær
- Post
- president
- forebygge
- beskytte
- beskyttet
- gir
- Trekker
- setter
- raskt
- Reager
- registre
- forblir
- fjernkontroll
- fjerne
- fjernet
- rapportert
- forespørsler
- forskning
- forskere
- svar
- avsløre
- Risiko
- risikoer
- rennende
- s
- Sa
- salg
- sier
- Resultat
- sikkerhet
- Servere
- bør
- samtidig
- So
- Software
- Noen
- sofistikert
- kilde
- Sør
- Sør-Korea
- spre
- lagring
- oppbevare
- butikker
- levere
- forsyningskjeden
- rettet mot
- lag
- lag
- Teknisk
- vilkår
- Det
- De
- deres
- Dem
- Disse
- tredjeparts
- til
- Trace
- trafikk
- gjennomsiktig
- forstå
- Oppdater
- oppdatert
- brukt
- Bruker
- Brukere
- variasjon
- versjon
- av
- Vice President
- BRUDD
- Sikkerhetsproblemer
- sårbarhet
- Sårbar
- Vei..
- web
- VI VIL
- Hva
- hvilken
- mens
- HVEM
- Wi-fi
- vil
- villig
- med
- uten
- virker
- år
- zephyrnet
