Зловмисне програмне забезпечення, яке може викрадати дані та здійснювати шахрайство з кліками, потрапило в 60 мобільних додатків через інфіковану сторонню бібліотеку. Дослідники виявили, що заражені програми зареєстрували понад 100 мільйонів завантажень з офіційного магазину Google Play і доступні в інших магазинах програм у Південній Кореї.
Goldoson, виявлений і названий дослідниками з McAfee Labs, може виконувати різноманітні негідні дії на пристроях на базі Android, вони сказали в публікація в блозі. Зловмисне програмне забезпечення може збирати списки встановлених програм, а також визначати місцезнаходження пристроїв поблизу через Wi-Fi та Bluetooth. За словами дослідників, він також може здійснювати рекламне шахрайство, клацаючи рекламні оголошення у фоновому режимі без згоди або відома користувача.
Деякі з популярних програм, на які впливає Goldoson, включають L.POINT з L.PAY, Swipe Brick Breaker, Money Manager Expense & Budget, Lotte Cinema, Live Score та GOM. Дослідники виявили понад 100 мільйонів завантажень інфікованих програм у Google Play і 8 мільйонів у ONE, провідному магазині мобільних додатків Південної Кореї.
За словами дослідників, McAfee повідомила про заражені програми в Google, яка швидко повідомила розробників, що їхні програми порушують політику Google Play і що їм потрібно виправити свої програми. Вони не згадують у своїй публікації, чи зверталися вони до магазину додатків ONE.
Деякі програми були видалені з Google Play, а інші були оновлені офіційними розробниками. McAfee заохочує користувачів будь-якої з постраждалих програм — список яких наведено в публікації — оновити їх до останньої версії, щоб видалити будь-які сліди Goldoson зі своїх пристроїв.
«Хоча шкідлива бібліотека була створена кимось іншим, а не розробниками додатків, ризик для інсталяторів додатків залишається», — написав СангРйол Рю з мобільної дослідницької групи McAfee у дописі.
Як працює Goldoson
Бібліотека Goldoson реєструє пристрій відразу після його зараження, отримуючи віддалені конфігурації з командно-контрольного сервера (C2), коли програма працює одночасно. Він ухиляється від виявлення, змінюючи та маскуючи назву бібліотеки та домен віддаленого сервера з кожною програмою; Розробники назвали його «Goldoson», тому що це перше доменне ім’я, яке вони знайшли.
Віддалена конфігурація містить параметри для кожної функції програми та вказує, як часто вона запускає компоненти.
«На основі параметрів бібліотека періодично перевіряє, отримує інформацію про пристрій і надсилає її на віддалені сервери», — написав Рю.
Goldoson може збирати дані з усіх програм на пристрої завдяки дозволу під назвою «QUERY_ALL_PACKAGES», який він запитує від пристрою. Користувачі пристроїв із встановленою ОС Android 11 або новішої версії виявляються більш захищеними від цього запиту: лише близько 10 відсотків випадків, спостережених McAfee, демонструють уразливість, кажуть дослідники.
Зловмисне програмне забезпечення запитує дозвіл на доступ до місцезнаходження, пам’яті або камери під час роботи з пристроїв під керуванням Android 6.0 або новішої версії. Якщо дозвіл на визначення місцезнаходження дозволено, заражена програма може отримати доступ не лише до даних GPS, але й до інформації Wi-Fi та Bluetooth з пристроїв поблизу, що дає їм більшу точність у визначенні місця розташування зараженого пристрою, особливо в приміщенні, відзначили дослідники, додавши, що можливість ідентифікація або виявлення місцезнаходження користувачів наражає їх на ризик подальшої зловмисної діяльності.
За словами дослідників, Goldoson також може завантажувати веб-сторінки без відома користувача — цією функцією зловмисники можуть зловживати, щоб завантажувати рекламу з метою отримання фінансової вигоди. З технічної точки зору це працює, тому що бібліотека завантажує HTML-код і вставляє його в налаштований і прихований WebView, а потім створює прихований трафік, відвідуючи URL-адреси рекурсивно, пояснили вони.
Кожні два дні Goldoson надсилає дані, які збирає з пристроїв, зловмисникам, які можуть змінити цей цикл за допомогою віддаленої конфігурації.
Ризик стороннього компонента мобільного додатка
Існування Goldoson ще раз демонструє, наскільки швидко може поширюватися зловмисна діяльність, коли вона є частиною сторонніх або відкритих компонентів, які розробники вбудовують у програми, не знаючи, що вони заражені, відзначили дослідники.
Це було добре задокументовано в Поразка Apache Log4j — у якій бібліотека журналювання, яка використовується майже в усіх середовищах Java, містить уразливість, яку легко використовувати. The наслідки Log4j — який був оголошено ендемічною кіберзагрозою Департаментом внутрішньої безпеки через кількість наявних заявок залишаються вразливими — ймовірно, буде відчуватися протягом багатьох років.
Дійсно, зловмисники не втрачають цю здатність швидко та без відома організацій чи розробників — і, таким чином, до того, як вони зможуть відреагувати — отримати великий шкідливий слід. У відповідь на це вони все частіше націлюються на ланцюжок постачання програмного забезпечення за допомогою зловмисного програмного забезпечення або експлойтів для Log4j та інших відомих уразливостей — і продовжуватимуть робити це в міру зростання своїх успіхів, зауважує експерт із безпеки.
«Зловмисники стають все більш досвідченими у своїх спробах заразити легітимні додатки на різних платформах», — каже Керн Сміт, віце-президент із продажів компанії Zimperium у американському регіоні.
Вимога прозорості
За словами експертів, прозорість між організаціями та командами розробників є найкращим способом пом’якшити проблеми з ланцюгом поставок програмного забезпечення.
Як розробникам, так і організаціям, які використовують додатки з відкритим вихідним кодом або компоненти сторонніх розробників, «потрібно оцінити ризики цих додатків та їхніх компонентів, особливо якщо це стосується списку матеріалів програмного забезпечення (SBOM)», який містить інвентаризацію того, що включає компоненти програмного забезпечення, говорить Сміт.
Дійсно, розробники повинні бути готові розкривати, які бібліотеки та інші компоненти використовуються в програмах, які вони розробляють і постачають, щоб захистити користувачів і запобігти компрометації через інфіковані або вразливі компоненти, кажуть дослідники McAfee.
Розробники зовнішніх бібліотек також повинні бути прозорими щодо свого коду, щоб організації та розробники, які їх використовують, могли зрозуміти їхню поведінку та, таким чином, швидко знати про будь-яку проблему, яка може виникнути, сказали вони.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- джерело: https://www.darkreading.com/remote-workforce/goldoson-malware-google-play-apps-100m-downloads
- : має
- :є
- $UP
- 10
- 100
- 100M
- 11
- 7
- 8
- a
- здатність
- МЕНЮ
- вище
- зловживання
- доступ
- точність
- придбання
- через
- діяльності
- діяльність
- Ad
- оголошення
- після
- ВСІ
- Північної та Південної Америки
- та
- чоловіча
- будь-який
- додаток
- магазин додатків
- з'являтися
- додаток
- застосування
- додатка
- ЕСТЬ
- AS
- At
- Спроби
- доступний
- фон
- заснований
- BE
- оскільки
- становлення
- було
- перед тим
- КРАЩЕ
- Білл
- Блог
- Bluetooth
- бюджет
- будувати
- by
- званий
- кімната
- CAN
- випадків
- ланцюг
- зміна
- Перевірки
- кіно
- клацання
- код
- збирати
- Приходити
- commit
- Компоненти
- компроміс
- конфігурація
- згода
- містити
- містить
- продовжувати
- налаштувати
- цикл
- дані
- Днів
- доставляти
- демонструє
- демонстрація
- відділ
- управління внутрішньої безпеки
- Виявлення
- розвивати
- розробників
- пристрій
- прилади
- відкрити
- відкритий
- домен
- Доменне ім'я
- завантажень
- охрестили
- кожен
- легко
- заохочення
- Машинобудування
- середовищах
- особливо
- Кожен
- існуючий
- експерт
- experts
- пояснені
- подвигів
- зовнішній
- фінансовий
- Фірма
- Перший
- виправляти
- Слід
- для
- знайдений
- шахрайство
- від
- функціональні можливості
- функціональність
- далі
- Отримувати
- дає
- в Google Play
- Google Play Маркет
- GPS
- Мати
- прихований
- вище
- Батьківщина
- Національна Безопаность
- Як
- HTML
- HTTPS
- ідентифікувати
- in
- включати
- все більше і більше
- інформація
- інформація
- встановлений
- інвентаризація
- питання
- питання
- IT
- Java
- JPG
- Знання
- знання
- відомий
- Корея
- Labs
- великий
- останній
- провідний
- використання
- libraries
- бібліотека
- Ймовірно
- список
- списки
- жити
- загрузка
- вантажі
- розташування
- log4j
- made
- шкідливих програм
- менеджер
- багато
- Матеріали
- Може..
- Макафі
- мільйона
- Пом'якшити
- Mobile
- Мобільний додаток
- Mobile Security
- мобільні Програми-
- гроші
- більше
- МОНТАЖ
- ім'я
- Названий
- майже
- Необхідність
- зазначив,
- Спостерігає
- of
- офіційний
- on
- ONE
- відкрити
- з відкритим вихідним кодом
- організації
- Інше
- інші
- інакше
- параметри
- частина
- Платити
- відсотків
- Виконувати
- дозвіл
- Дозволи
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- Play
- Play Маркет
- точка
- Політика
- популярний
- пошта
- президент
- запобігати
- захист
- захищений
- забезпечує
- Тягне
- Ставить
- швидко
- Реагувати
- регістри
- залишається
- віддалений
- видаляти
- Вилучено
- Повідомляється
- запитів
- дослідження
- Дослідники
- відповідь
- показувати
- Risk
- ризики
- біг
- s
- Зазначений
- продажів
- говорить
- рахунок
- безпеку
- Сервери
- Повинен
- одночасно
- So
- Софтвер
- Хтось
- складний
- Source
- Південь
- South Korea
- поширення
- зберігання
- зберігати
- магазинів
- поставка
- ланцюжка поставок
- націлювання
- команда
- команди
- технічний
- terms
- Що
- Команда
- їх
- Їх
- Ці
- третя сторона
- до
- Трасування
- трафік
- прозорий
- розуміти
- Оновити
- оновлений
- використовуваний
- користувач
- користувачі
- різноманітність
- версія
- через
- Віцепрезидент
- ПОРУШЕННЯ
- Уразливості
- вразливість
- Вразливий
- шлях..
- Web
- ДОБРЕ
- Що
- який
- в той час як
- ВООЗ
- Wi-Fi
- волі
- готовий
- з
- без
- працює
- років
- зефірнет
