Un nouveau malware Android nommé « Goldoson » s’est infiltré dans Google Play via 60 applications légitimes totalisant 100 millions de téléchargements.
Le composant malveillant malveillant fait partie d’une bibliothèque tierce utilisée par les soixante applications que les développeurs ont ajoutées sans le savoir à leurs applications.
Certaines des applications concernées sont :
- L.POINT avec L.PAY – 10 millions de téléchargements
- Swipe Brick Breaker – 10 millions de téléchargements
- Money Manager Expense & Budget – 10 millions de téléchargements
- GOM Player – 5 millions de téléchargements
- Score en direct, score en temps réel – 5 millions de téléchargements
- Pikicast – 5 millions de téléchargements
- Compass 9 : Smart Compass – 1 million de téléchargements
- GOM Audio – paroles de musique, synchronisation – 1 million de téléchargements
- LOTTE WORLD Magicpass – 1 million de téléchargements
- Bounce Brick Breaker – 1 million de téléchargements
- Infinite Slice – 1 million de téléchargements
- SomNote – Belle application de notes – 1 million de téléchargements
- Korea Subway Info : Metroid – 1 million de téléchargements
Selon l’équipe de recherche de McAfee, qui a découvert Goldoson, le logiciel malveillant peut collecter des données sur les applications installées, les appareils connectés au WiFi et au Bluetooth, ainsi que les emplacements GPS de l’utilisateur.
De plus, il peut effectuer une fraude publicitaire en cliquant sur des publicités en arrière-plan sans le consentement de l’utilisateur.
Voler des données à partir d’appareils Android
Lorsque l’utilisateur lance une application contenant Goldoson, la bibliothèque enregistre l’appareil et reçoit sa configuration d’un serveur distant dont le domaine est masqué.
La configuration contient des paramètres qui définissent les fonctions de vol de données et de clic publicitaire que Goldoson doit exécuter sur l’appareil infecté et à quelle fréquence.
La fonction de collecte de données est généralement configurée pour s’activer tous les deux jours, en envoyant au serveur C2 une liste des applications installées, l’historique de localisation géographique, l’adresse MAC des appareils connectés via Bluetooth et WiFi, et plus encore.
Le niveau de collecte de données dépend des autorisations accordées à l’application infectée lors de son installation et de la version d’Android. Android 11 et supérieur sont mieux protégés contre la collecte arbitraire de données ; Cependant, McAfee a constaté que même dans les versions récentes du système d’exploitation, Goldoson disposait de suffisamment d’autorisations pour collecter des données sensibles dans 10 % des applications.
La fonction de clic publicitaire s’effectue en chargeant du code HTML et en l’injectant dans une WebView personnalisée et masquée, puis en l’utilisant pour effectuer plusieurs visites d’URL, générant des revenus publicitaires.
La victime ne voit aucune indication de cette activité sur son appareil.
Bibliothèque supprimée, mais le risque est toujours là
McAfee est un membre de Google App Defense Alliance qui aide à protéger Google Play contre les menaces de logiciels malveillants/publicitaires. Ainsi, les chercheurs ont informé Google de ses conclusions et les développeurs des applications concernées ont été alertés en conséquence.
De nombreuses applications concernées ont été nettoyées par leurs développeurs, qui ont supprimé la bibliothèque incriminée, et celles qui n’ont pas répondu à temps ont vu leurs applications supprimées de Google Play pour non-conformité aux politiques du magasin.
Google a confirmé l’action à Breachtrace, déclarant que les applications violaient les politiques de Google Play.
« La sécurité des utilisateurs et des développeurs est au cœur de Google Play. Lorsque nous trouvons des applications qui enfreignent nos politiques, nous prenons les mesures appropriées », a déclaré Google à Breachtrace.
« Nous avons informé les développeurs que leurs applications enfreignent les politiques de Google Play et que des correctifs sont nécessaires pour se mettre en conformité. »
Les utilisateurs qui ont installé une application concernée depuis Google Play peuvent remédier au risque en appliquant la dernière mise à jour disponible.
Cependant, Goldoson existe également sur des magasins d’applications Android tiers, et les chances que ceux qui hébergent encore la bibliothèque malveillante soient élevées.
Les signes courants d’infection par les logiciels publicitaires et les logiciels malveillants incluent le chauffage de l’appareil, l’épuisement rapide de la batterie et une utilisation anormalement élevée des données Internet, même lorsque l’appareil n’est pas utilisé.