Um novo malware para Android, chamado “Goldoson“, foi detectado na loja de aplicativos do sistema, a Google Play. O vírus se infiltrou em 60 aplicativos legítimos que, juntos, somam 100 milhões de downloads.
O software malicioso faz parte de uma biblioteca de terceiros usada pelos desenvolvedores de todos os aplicativos afetados. Essa biblioteca foi adicionada pelos desenvolvedores sem que estes soubessem de sua natureza nociva.
Leia também
Cibercriminosos usam Darknet para vender apps maliciosos na Google Play por até US$ 20 mil
Microsoft revela estratégias para combater vírus quase indetectável BlackLotus
Aplicativos afetados somam 100 milhões de downloads
Abaixo você confere alguns dos aplicativos afetados:
- L.POINT com L.PAY – 10 milhões de downloads
- Swipe Brick Breaker – 10 milhões de downloads
- Money Manager Expense & Budget – 10 milhões de downloads
- GOM Player – 5 milhões de downloads
- LIVE Score, Real-Time Score – 5 milhões de downloads
- Pikicast – 5 milhões de downloads
- Compass 9: Smart Compass – 1 milhão de downloads
- GOM Audio – Music, Sync lyrics – 1 milhão de downloads
- LOTTE WORLD Magicpass – 1 milhão de downloads
- Bounce Brick Breaker – 1 milhão de downloads
- Infinite Slice – 1 milhão de downloads
- SomNote – Beautiful note app – 1 milhão de downloads
- Korea Subway Info: Metroid – 1 milhão de downloads
A equipe de pesquisa da McAfee, responsável pela descoberta do Goldoson, informou que o malware é capaz de coletar informações sobre aplicativos instalados, dispositivos conectados via WiFi e Bluetooth, além da localização GPS do usuário.
Além disso, o Goldoson pode realizar fraudes publicitárias, clicando em anúncios em segundo plano sem o consentimento do usuário. O roubo de dados em dispositivos Android ocorre quando o usuário inicia um aplicativo que contém o Goldoson. A biblioteca registra o dispositivo e recebe sua configuração de um servidor remoto com domínio ofuscado.
Essa configuração contém parâmetros que determinam quais funções de roubo de dados e cliques em anúncios o Goldoson deve executar no dispositivo infectado e com que frequência.
Vírus Goldoson funciona mesmo em versões recentes do Android
A função de coleta de dados é normalmente ativada a cada dois dias, enviando ao servidor uma série de dados. Dentre eles estão uma lista de aplicativos instalados, histórico de localização geográfica, endereço MAC de dispositivos conectados via Bluetooth e WiFi, entre outros.
O nível de coleta de dados depende das permissões concedidas ao aplicativo infectado durante sua instalação e da versão do Android. O Android 11 e versões superiores possuem melhor proteção contra coleta de dados arbitrária. Entretanto, a McAfee descobriu que mesmo em versões recentes do sistema operacional, o Goldoson tinha permissões suficientes para coletar dados sensíveis em 10% dos aplicativos.
A função de clique em anúncios ocorre através do carregamento de código HTML injetado em uma WebView oculta e personalizada, realizando visitas múltiplas a URLs e gerando receita com anúncios. O usuário não vê qualquer indício dessa atividade em seu dispositivo.
Biblioteca maliciosa já foi removida
A biblioteca maliciosa foi removida, mas o risco ainda persiste. A McAfee é membro da Google App Defense Alliance, que auxilia na proteção da Google Play contra ameaças de malware e adware. Os pesquisadores informaram o Google sobre suas descobertas, e os desenvolvedores dos aplicativos afetados foram alertados.
Muitos dos aplicativos comprometidos foram corrigidos pelos seus desenvolvedores, que removeram a biblioteca maliciosa. Aqueles que não responderam a tempo tiveram seus aplicativos retirados do Google Play por não cumprirem as políticas da loja. O Google confirmou a ação ao BleepingComputer, afirmando que os aplicativos violavam as políticas do Google Play:
“A segurança dos usuários e desenvolvedores está no cerne do Google Play. Quando encontramos aplicativos que violam nossas políticas, tomamos as medidas apropriadas“, disse o Google ao BleepingComputer. “Informamos os desenvolvedores de que seus aplicativos estão em violação às políticas do Google Play e que correções são necessárias para entrar em conformidade.“
Os usuários que instalaram um dos aplicativos afetados podem reduzir o risco aplicando a atualização mais recente disponível. No entanto, o Goldoson também está presente em lojas de aplicativos Android de terceiros. A possibilidade de que essas lojas ainda contenham a biblioteca maliciosa é alta.
Sinais comuns de infecção por adware e malware incluem o aquecimento do dispositivo, drenagem rápida da bateria e uso elevado de dados de internet, mesmo quando o dispositivo não está em uso.
Fontes: McAfee via Bleeping Computer
Veja também
Sobre o Autor
Deixe seu comentário