Команда мобильных исследований McAfee обнаружила программную библиотеку, названную нами Goldoson, которая собирает списки установленных приложений, историю информации об устройствах Wi-Fi и Bluetooth, включая ближайшие местоположения GPS. Кроме того, библиотека оснащена функциями для мошенничества с рекламой, нажимая на рекламные объявления в фоновом режиме без согласия пользователя.
Goldoson Adware
Исследовательская группа обнаружила более 60 приложений, содержащих эту стороннюю вредоносную библиотеку, с более чем 100 миллионами загрузок, подтвержденных в магазине ONE и на рынках загрузки приложений Google Play в Южной Корее. Хотя вредоносная библиотека была создана кем-то другим, а не разработчиками приложений, риск для установщиков этих приложений сохраняется.
McAfee Mobile Security обнаруживает эту угрозу как Android/Goldoson.
Библиотека Goldoson регистрирует устройство и получает удаленные конфигурации одновременно с запуском приложения. Имя библиотеки и домен удаленного сервера варьируются в каждом приложении, и они обфусцированы. Название Goldoson находится после первого найденного доменного имени.
Удаленная конфигурация содержит параметры для каждой из функциональных возможностей и указывает, как часто запускать компоненты. На основе параметров библиотека периодически проверяет, извлекает информацию об устройстве и отправляет ее на удаленные серверы. Теги, такие как 'ads_enable' или 'collect_enable', указывают на работу или неработоспособность каждой функциональности, в то время как другие параметры определяют условия и доступность.
Библиотека включает в себя возможность загрузки веб-страниц без ведома пользователя. Функциональность может быть использована для загрузки рекламы с целью получения финансовой выгоды. Технически, библиотека загружает HTML-код и внедряет его в настроенный и скрытый WebView, а также производит скрытый трафик, рекурсивно посещая URL-адреса.
Собранные данные рассылаются периодически каждые два дня, но цикл может быть изменен удаленной конфигурацией. Информация содержит некоторые конфиденциальные данные, включая список установленных приложений, историю местоположения, MAC-адрес Bluetooth и Wi-Fi поблизости и многое другое. Это может позволить идентифицировать отдельных людей при объединении данных. В следующих таблицах представлены данные, наблюдаемые на нашем тестовом устройстве.
Google Play считает список установленных приложений личными и конфиденциальными данными пользователя и требует специального разрешения для их получения. Пользователи с Android 11 и выше более защищены от приложений, пытающихся собрать все установленные приложения. Однако даже на последней версии Android McAfee обнаружили, что около 10% приложений с Goldoson имеют разрешение "QUERY_ALL_PACKAGES", которое позволяет им получать доступ к информации о приложениях.
Аналогичным образом, в Android 6.0 и выше у пользователей могут запрашивать такие разрешения, как "Местоположение", "Хранилище" или "Камера" во время выполнения программы. Если пользователь разрешает разрешение на определение местоположения, приложение может получить доступ не только к данным GPS, но и к информации об устройствах Wi-Fi и Bluetooth поблизости. На основе BSSID (идентификатор базового набора услуг) и RSSI (индикатор силы принимаемого сигнала) приложение может определить местоположение устройства более точно, чем GPS, особенно в помещении.
Indicators of Compromise
Domains
- bhuroid.com
- dalefs.com
- dggerys.com
- discess.net
- enestcon.com
- fuerob.com
- gadlito.com
- gerfane.com
- goldoson.net
- hjorsjopa.com
- htyyed.com
- methinno.net
- necktro.com
- ojiskorp.net
- onanico.net
- openwor.com
- phyerh.net
- ridinra.com
- rouperdo.net
- soildonutkiel.com
- soridok2kpop.com
- sorrowdeepkold.com
- superdonaldkood.com
- thervide.net
- tiffyre.net
- treffaas.com
- visceun.com