Goldoson Adware IOCs

Adware

Команда мобильных исследований McAfee обнаружила программную библиотеку, названную нами Goldoson, которая собирает списки установленных приложений, историю информации об устройствах Wi-Fi и Bluetooth, включая ближайшие местоположения GPS. Кроме того, библиотека оснащена функциями для мошенничества с рекламой, нажимая на рекламные объявления в фоновом режиме без согласия пользователя.

Goldoson Adware

Исследовательская группа обнаружила более 60 приложений, содержащих эту стороннюю вредоносную библиотеку, с более чем 100 миллионами загрузок, подтвержденных в магазине ONE и на рынках загрузки приложений Google Play в Южной Корее. Хотя вредоносная библиотека была создана кем-то другим, а не разработчиками приложений, риск для установщиков этих приложений сохраняется.

McAfee Mobile Security обнаруживает эту угрозу как Android/Goldoson.

Библиотека Goldoson регистрирует устройство и получает удаленные конфигурации одновременно с запуском приложения. Имя библиотеки и домен удаленного сервера варьируются в каждом приложении, и они обфусцированы. Название Goldoson находится после первого найденного доменного имени.

Удаленная конфигурация содержит параметры для каждой из функциональных возможностей и указывает, как часто запускать компоненты. На основе параметров библиотека периодически проверяет, извлекает информацию об устройстве и отправляет ее на удаленные серверы. Теги, такие как 'ads_enable' или 'collect_enable', указывают на работу или неработоспособность каждой функциональности, в то время как другие параметры определяют условия и доступность.

Библиотека включает в себя возможность загрузки веб-страниц без ведома пользователя. Функциональность может быть использована для загрузки рекламы с целью получения финансовой выгоды. Технически, библиотека загружает HTML-код и внедряет его в настроенный и скрытый WebView, а также производит скрытый трафик, рекурсивно посещая URL-адреса.

Собранные данные рассылаются периодически каждые два дня, но цикл может быть изменен удаленной конфигурацией. Информация содержит некоторые конфиденциальные данные, включая список установленных приложений, историю местоположения, MAC-адрес Bluetooth и Wi-Fi поблизости и многое другое. Это может позволить идентифицировать отдельных людей при объединении данных. В следующих таблицах представлены данные, наблюдаемые на нашем тестовом устройстве.

Google Play считает список установленных приложений личными и конфиденциальными данными пользователя и требует специального разрешения для их получения. Пользователи с Android 11 и выше более защищены от приложений, пытающихся собрать все установленные приложения. Однако даже на последней версии Android McAfee обнаружили, что около 10% приложений с Goldoson имеют разрешение "QUERY_ALL_PACKAGES", которое позволяет им получать доступ к информации о приложениях.

Аналогичным образом, в Android 6.0 и выше у пользователей могут запрашивать такие разрешения, как "Местоположение", "Хранилище" или "Камера" во время выполнения программы. Если пользователь разрешает разрешение на определение местоположения, приложение может получить доступ не только к данным GPS, но и к информации об устройствах Wi-Fi и Bluetooth поблизости. На основе BSSID (идентификатор базового набора услуг) и RSSI (индикатор силы принимаемого сигнала) приложение может определить местоположение устройства более точно, чем GPS, особенно в помещении.

Indicators of Compromise

Domains

  • bhuroid.com
  • dalefs.com
  • dggerys.com
  • discess.net
  • enestcon.com
  • fuerob.com
  • gadlito.com
  • gerfane.com
  • goldoson.net
  • hjorsjopa.com
  • htyyed.com
  • methinno.net
  • necktro.com
  • ojiskorp.net
  • onanico.net
  • openwor.com
  • phyerh.net
  • ridinra.com
  • rouperdo.net
  • soildonutkiel.com
  • soridok2kpop.com
  • sorrowdeepkold.com
  • superdonaldkood.com
  • thervide.net
  • tiffyre.net
  • treffaas.com
  • visceun.com
Комментарии: 0