I ricercatori di McAfee hanno scoperto la presenza di un malware in oltre 60 app Android scaricate oltre 100 milioni di volte (soprattutto in Corea del Sud). L’infezione è stata nascosta in una libreria di terze parti utilizzata inconsapevolmente dagli sviluppatori. Il nome del malware, Goldoson, deriva da un dominio del server remoto. Alcune app sono state aggiornate per rimuovere il malware, mentre altre sono state rimosse dallo store.
Furto di dati e guadagni pubblicitari
All’avvio delle app, Goldoson registra i dispositivi e riceve i parametri di configurazione dal server remoto. Il nome della libreria e i nomi dei domini cambiano in base all’app. Inoltre il codice è offuscato. I parametri stabiliscono la frequenza delle attività (ad esempio quando rubare i dati), quali informazioni raccogliere e se deve essere sfruttata la funzione che consente di ottenere profitti dalle inserzioni pubblicitarie.
In quest’ultimo caso, la libreria carica pagine web in background, quindi l’utente non si accorge di nulla. Il codice HTML infetto viene iniettato in un WebView nascosto e genera visite continue agli URL di pagine con banner pubblicitari. Tra i dati rubati ci sono l’elenco delle app installate, la cronologia della posizione geografica, gli indirizzi MAC dei dispositivi connessi tramite WiFi e Bluetooth.
L’accesso all’elenco delle app installate viene bloccato dalle versioni più recenti del sistema operativo (da Android 11), ma il 10% delle app riesce ad aggirare la protezione. Le versioni più vecchie (da Android 6.0) consentono anche di accedere a storage e fotocamera.
I ricercatori di McAfee hanno segnalato le app a Google. L’azienda di Mountain View ha contattato gli sviluppatori, alcuni dei quali hanno rilasciato gli aggiornamenti, rimuovendo la libreria infetta. Le app degli sviluppatori che non hanno risposto in tempo sono state eliminate dal Play Store.