‘Goldoson’ adlı yeni bir Android kötü amaçlı yazılımı, toplu olarak 100 milyon kez indirilen 60 yasal uygulama aracılığıyla Google Play’e sızdı.
Kötü amaçlı kötü amaçlı yazılım bileşeni, geliştiricilerin bilmeden uygulamalarına eklediği altmış uygulamanın tümü tarafından kullanılan üçüncü taraf kitaplığının bir parçasıdır.
Etkilenen uygulamalardan bazıları şunlardır:
- L.PAY ile L.POINT – 10 milyon indirme
- Swipe Brick Breaker – 10 milyon indirme
- Money Manager Harcama ve Bütçe – 10 milyon indirme
- GOM Player – 5 milyon indirme
- CANLI Skor, Gerçek Zamanlı Skor – 5 milyon indirme
- Pikicast – 5 milyon indirme
- Pusula 9: Akıllı Pusula – 1 milyon indirme
- GOM Audio – Music, Sync şarkı sözleri – 1 milyon indirme
- LOTTE WORLD Magicpass – 1 milyon indirme
- Bounce Brick Breaker – 1 milyon indirme
- Sonsuz Dilim – 1 milyon indirme
- SomNote – Güzel not uygulaması – 1 milyon indirme
- Korea Subway Info: Metroid – 1 milyon indirme
Goldoson’u keşfeden McAfee’nin araştırma ekibine göre, kötü amaçlı yazılım yüklü uygulamalar, WiFi ve Bluetooth bağlantılı cihazlar ve kullanıcının GPS konumları hakkında veri toplayabilir.
Ayrıca kullanıcının izni olmadan arka planda reklamlara tıklayarak reklam dolandırıcılığı yapabilir.
Android cihazlardan veri çalma
Kullanıcı, Goldoson içeren bir uygulamayı başlattığında, kitaplık aygıtı kaydeder ve yapılandırmasını, etki alanı karartılmış uzak bir sunucudan alır.
Yapılandırma, Goldoson’un virüs bulaşmış cihazda hangi veri çalma ve reklam tıklama işlevlerini çalıştırması gerektiğini ve ne sıklıkla çalıştırması gerektiğini ayarlayan parametreleri içerir.
Veri toplama işlevi genellikle iki günde bir etkinleştirilecek ve C2 sunucusuna yüklü uygulamaların bir listesini, coğrafi konum geçmişini, Bluetooth ve WiFi üzerinden bağlı cihazların MAC adresini ve daha fazlasını gönderecek şekilde ayarlanmıştır.
Veri toplama düzeyi, virüslü uygulamaya yüklenmesi sırasında verilen izinlere ve Android sürümüne bağlıdır. Android 11 ve üzeri, keyfi veri toplamaya karşı daha iyi korunur; ancak McAfee, Goldoson’un işletim sisteminin son sürümlerinde bile uygulamaların %10’unda hassas verileri toplamak için yeterli izne sahip olduğunu buldu.
Reklam tıklama işlevi, HTML kodunu yükleyip özelleştirilmiş, gizli bir Web Görünümüne enjekte ederek ve ardından bunu birden çok URL ziyareti gerçekleştirmek için kullanarak reklam geliri elde ederek gerçekleşir.
Kurban, cihazında bu etkinliğin herhangi bir göstergesini görmez.
Kitaplık kaldırıldı, ancak risk hâlâ var
McAfee, Google Play’i kötü amaçlı yazılım/reklam yazılımı tehditlerinden temiz tutmaya yardımcı olan bir Google App Defence Alliance üyesidir. Bu nedenle, araştırmacılar bulguları hakkında Google’ı bilgilendirdi ve etkilenen uygulamaların geliştiricileri buna göre uyarıldı.
Etkilenen uygulamaların çoğu, sorun yaratan kitaplığı kaldıran geliştiricileri tarafından temizlendi ve zamanında yanıt vermeyenlerin uygulamaları, mağazanın politikalarına uymadığı için Google Play’den kaldırıldı.
Google, uygulamaların Google Play politikalarını ihlal ettiğini belirterek işlemi BleepingComputer’a onayladı.
Google, BleepingComputer’a “Kullanıcıların ve geliştiricilerin güvenliği Google Play’in merkezinde yer alır. Politikalarımızı ihlal eden uygulamalar bulduğumuzda uygun işlemi yaparız” dedi.
“Geliştiricilere, uygulamalarının Google Play politikalarını ihlal ettiğini ve uyumlu hale getirilmesi için düzeltmeler yapılması gerektiğini bildirdik.”
Google Play’den etkilenen bir uygulamayı yükleyen kullanıcılar, mevcut en son güncellemeyi uygulayarak riski giderebilir.
Ancak Goldoson, üçüncü taraf Android uygulama mağazalarında da mevcuttur ve kötü niyetli kitaplığı barındıranların şansı yüksektir.
Reklam yazılımı ve kötü amaçlı yazılım bulaşmasının yaygın belirtileri arasında cihazın ısınması, pilin hızla boşalması ve cihaz kullanımda değilken bile alışılmadık derecede yüksek internet veri kullanımı yer alır.