惡意勒索軟體 Ransomware

用於竊取個人、企業相關機敏資訊
惡意勒索軟體 Ransomware

Android 惡意軟體 Goldoson 悄悄入侵 Google Play 商店

2023-05-04

資安業者 McAfee 近日發現一鎖定南韓市場的 Android 惡意程式 Goldoson,它滲透到Google Play、ONE Store 與其它 Android 市集上的逾 60 款合法程式,下載量高達 1 億。它收集已安裝應用程序的列表,以及 Wi-Fi 和藍牙設備訊息的歷史記錄,包括附近的 GPS 位置。此外,它還配備了在未經用戶同意的情況下通過點擊後台廣告來進行廣告欺詐的功能,雖然 Goldoson 非應用程序開發人員製作,但應用程序安裝者面臨的風險仍然存在。

 

Goldoson 的威脅

Goldoson 可以從受影響的設備收集的數據包括:

 

  • 已安裝應用程序的數據

  • WiFi連接的設備

  • 藍牙連接的設備

  • 用戶的 GPS 位置

  • 位置記錄

  • 附近藍牙MAC地址

  • 附近Wi-Fi的MAC地址

 

較嚴重的是,Goldoson 有偷偷加載網頁的能力,該功能可能會被濫用來加載廣告以獲取經濟利益。它通過在隱藏的 WebView 中加載 HTML 代碼並將流量驅動到 URL 來實現這一點,並在過程中保持不被發現。

該軟體在披露後,63 款違規應用中的 36 款已從 Google Play 商店下架。其餘 27 個應用程序則由官方開發人員更新,並鼓勵用戶將應用程序更新到最新版本,以從他們的設備中刪除已識別的威脅。 

Goldoson library 在 App 運行時會註冊設備並取得遠端配置。該資料庫的名稱和遠端伺服器域名會因應不同的應用程式而變化,並且會被混淆,這使 Goldoson 更加隱蔽與智能。Goldoson 這個名稱是源自於首次發現的域名。當它從 App 使用者設備的遠程服務器接收遠程配置時,該服務器的域在應用程序處於活動狀態時被混淆,從而使隱私受到威脅。

圖片來源:https://www.mcafee.com/blogs/other-blogs/mcafee-labs/goldoson-privacy-invasive-and-clicker-android-adware-found-in-popular-apps-in-south-korea/


而遠端配置是惡意軟體破壞性影響的關鍵。它決定了每個組件的運行頻率,並定義了所有有害功能的具體參數,Goldoson 會定期從設備中提取信息,並根據其配置的參數將其發送到遠端伺服器。標籤 “ads_enable” 和 “collect_enable” 用作惡意軟體各種功能的開關,而其他參數則概述了它們運行的條件和要求。惡意軟體可以選擇使用這些設置激活想要的功能以及激活時間。


圖片來源:https://www.mcafee.com/blogs/other-blogs/mcafee-labs/goldoson-privacy-invasive-and-clicker-android-adware-found-in-popular-apps-in-south-korea/

 

雖然 Android 11 以上的版本已經防止未經批准的數據收集,但 McAfee 發現 Goldson 仍然成功從這些版本約 10% 的應用程式中蒐集敏感資訊,且被盜數據每兩天傳輸一次,遠程配置還可以改變頻率。Goldson 透過這些還可以改變傳輸速率來避開檢測的時間,避免被發現他們的入侵行動。

 

結論與建議

隨著應用程式不斷擴大並利用更多外部資料庫,開發者需要更加了解它們的詳細行為,並應更加謹慎以保護使用者的資訊。應用程式開發人員應該坦率地說明所使用的資料庫,並採取預防措施來保護用戶的資訊。我們建議用戶最好從可信來源下載應用程式、審查應用程式權限、使用強密碼、啟用多重身份驗證,並在接收來自未知發件人的信件或電子郵件時保持謹慎。


 

參考資料:

 

  1. Goldoson: Privacy-invasive and Clicker Android Adware found in popular apps in South Korea ( 12 Apr. 2023 )
    -https://www.mcafee.com/blogs/other-blogs/mcafee-labs/goldoson-privacy-invasive-and-clicker-android-adware-found-in-popular-apps-in-south-korea/

  2. Google Play上逾60款合法程式遭Android惡意程式Goldoson滲透
    ( 17 Apr. 2023 )
    -https://www.ithome.com.tw/news/156427

  3. New Android Malware Infecting 60 Google Play Apps with Over 100M Installs
    ( 20 Apr. 2023 )
    -https://gbhackers.com/android-malware-60-apps/amp/

TOP