Vn-Z.vn Ngày 20 tháng 04 năm 2023, McAfee’s Mobile Research Team thông báo , họ phát hiện ra ít nhất 60 ứng dụng trên Google Play Store bị nhiễm phần mềm độc hại Android Goldoson. Các ứng dụng này có khoảng 100 triệu lượt cài đặt trên Play Store và 8 triệu lượt cài đặt trên ONE Store của Hàn Quốc.
Người dùng Hàn Quốc là đối tượng dễ bị tấn công nhất khi tải xuống các ứng dụng này. Mã độc Goldson có thể thu thập dữ liệu từ các ứng dụng được cài đặt trên thiết bị, cũng như từ các thiết bị được kết nối Bluetooth và Wi-Fi.
Mã độc Goldoson Android đã xâm nhập vào chợ ứng dụng Google Play chính thức thông qua 60 ứng dụng hợp pháp. Thành phần malware độc hại này dựa trên thư viện của bên thứ ba được 60 phần mềm trên Google Play sử dụng. McAfee cho rằng có thể chính các nhà phát triển đã thêm "nhầm" nó vào ứng dụng của họ.
Dưới đây là danh sách một số ứng dụng, phần mềm trên Google Play bị nhiễm mã độc Goldoson.
Malware Goldoson Android được thiết kế có thể thực hiện các hành động nguy hiểm trên các thiết bị đã tải xuống một trong 60 ứng dụng bị nhiễm. Sau khi ứng dụng được tải xuống và khởi chạy, thư viện phần mềm độc hại sẽ đăng ký ứng dụng và nhận cấu hình của nó từ một máy chủ từ xa có domain bị xáo trộn.
Cấu hình thiết lập các chức năng mà phần mềm độc hại sẽ chạy trên thiết bị, bao gồm tính năng nhấp vào quảng cáo và thu thập dữ liệu. Chức năng thu thập dữ liệu được kích hoạt hai ngày một lần và dữ liệu được thu thập cùng với địa chỉ MAC của thiết bị Bluetooth và Wi-Fi được kết nối sẽ được chuyển đến máy chủ C2.
Tính năng nhấp vào quảng cáo được khởi chạy bằng cách tải và đưa mã HTML vào một WebView ẩn tùy chỉnh. Tính năng click vào quảng cáo giúp tạo doanh thu thông qua nhiều lượt truy cập URL.
Mã độc Goldson có thể thu thập dữ liệu từ các ứng dụng được cài đặt trên thiết bị, cũng như từ các thiết bị được kết nối Bluetooth và Wi-Fi. Ngoài ra, nó có thể theo dõi vị trí của người dùng và thực hiện hành vi gian lận quảng cáo bằng cách nhấp vào quảng cáo trong nền mà không thông báo cho người dùng. Việc thu thập dữ liệu dựa trên các quyền được cấp cho ứng dụng bị nhiễm trong quá trình ứng dụng cài đặt.
Các chuyên gia từ McAfee thông báo rằng mặc dù các phiên bản Android 11 trở lên thường được coi là an toàn trước hành vi trộm cắp dữ liệu nhờ khả năng bảo vệ an ninh vượt trội, nhưng trong 10% ứng dụng bị nhiễm, Goldoson có thể thu thập dữ liệu nhạy cảm từ các thiết bị chạy các phiên bản Android 11 .
McAfee gửi cảnh báo cho Google và các nhà phát triển ứng dụng, cả hai đều đã nhanh chóng xóa mã độc trên khỏi ứng dụng. Đối với các ứng dụng không xóa mã độc đã bị xóa khỏi Cửa hàng Google Play.
Người dùng cần chú ý là các phiên bản ứng dụng nhiễm mã độc Goldoson vẫn có sẵn trên các cửa hàng ứng dụng Android của bên thứ ba . Người dùng hãy gỡ ứng dụng cũ và cài đặt lại từ Play Store để đảm bảo an toàn.
Nguồn tham khảo McAfee
Người dùng Hàn Quốc là đối tượng dễ bị tấn công nhất khi tải xuống các ứng dụng này. Mã độc Goldson có thể thu thập dữ liệu từ các ứng dụng được cài đặt trên thiết bị, cũng như từ các thiết bị được kết nối Bluetooth và Wi-Fi.
Dưới đây là danh sách một số ứng dụng, phần mềm trên Google Play bị nhiễm mã độc Goldoson.
Mã:
Pikicast
GOM Player
LIVE Score
Infinite Slice
Real-Time Score
L.POINT with L.PAY
Swipe Brick Breaker
Bounce Brick Breaker
LOTTE WORLD Magicpass
Compass 9: Smart Compass
Korea Subway Info: Metroid
SomNote - Beautiful note app
GOM Audio - Music, Sync lyrics
Money Manager Expense & Budget
Cấu hình thiết lập các chức năng mà phần mềm độc hại sẽ chạy trên thiết bị, bao gồm tính năng nhấp vào quảng cáo và thu thập dữ liệu. Chức năng thu thập dữ liệu được kích hoạt hai ngày một lần và dữ liệu được thu thập cùng với địa chỉ MAC của thiết bị Bluetooth và Wi-Fi được kết nối sẽ được chuyển đến máy chủ C2.
Tính năng nhấp vào quảng cáo được khởi chạy bằng cách tải và đưa mã HTML vào một WebView ẩn tùy chỉnh. Tính năng click vào quảng cáo giúp tạo doanh thu thông qua nhiều lượt truy cập URL.
Mã độc Goldson có thể thu thập dữ liệu từ các ứng dụng được cài đặt trên thiết bị, cũng như từ các thiết bị được kết nối Bluetooth và Wi-Fi. Ngoài ra, nó có thể theo dõi vị trí của người dùng và thực hiện hành vi gian lận quảng cáo bằng cách nhấp vào quảng cáo trong nền mà không thông báo cho người dùng. Việc thu thập dữ liệu dựa trên các quyền được cấp cho ứng dụng bị nhiễm trong quá trình ứng dụng cài đặt.
Các chuyên gia từ McAfee thông báo rằng mặc dù các phiên bản Android 11 trở lên thường được coi là an toàn trước hành vi trộm cắp dữ liệu nhờ khả năng bảo vệ an ninh vượt trội, nhưng trong 10% ứng dụng bị nhiễm, Goldoson có thể thu thập dữ liệu nhạy cảm từ các thiết bị chạy các phiên bản Android 11 .
McAfee gửi cảnh báo cho Google và các nhà phát triển ứng dụng, cả hai đều đã nhanh chóng xóa mã độc trên khỏi ứng dụng. Đối với các ứng dụng không xóa mã độc đã bị xóa khỏi Cửa hàng Google Play.
Người dùng cần chú ý là các phiên bản ứng dụng nhiễm mã độc Goldoson vẫn có sẵn trên các cửa hàng ứng dụng Android của bên thứ ba . Người dùng hãy gỡ ứng dụng cũ và cài đặt lại từ Play Store để đảm bảo an toàn.
Nguồn tham khảo McAfee