Goldoson Android Malware infecta más de 100 millones de descargas de Google Play Store


18 de abril de 2023Ravie LakshmanánSeguridad Móvil / Hackeo

h

Una nueva variedad de malware para Android llamada oroson se ha detectado en la tienda oficial de Google Play que abarca más de 60 aplicaciones legítimas que en conjunto tienen más de 100 millones de descargas.

Se han rastreado ocho millones de instalaciones adicionales a través de ONE store, una tienda líder de aplicaciones de terceros en Corea del Sur.

El componente no autorizado es parte de una biblioteca de software de terceros utilizada por las aplicaciones en cuestión y es capaz de recopilar información sobre las aplicaciones instaladas, los dispositivos conectados a Wi-Fi y Bluetooth y las ubicaciones de GPS.

«Además, la biblioteca está armada con la funcionalidad para realizar fraude publicitario al hacer clic en anuncios en segundo plano sin el consentimiento del usuario», dijo el investigador de seguridad de McAfee, SangRyol Ryu. dicho en un informe publicado la semana pasada.

Además, incluye la capacidad de cargar páginas web de forma sigilosa, una característica que podría abusarse para cargar anuncios con fines de lucro. Lo logra cargando código HTML en un oculto WebView y dirigir el tráfico a las URL.

Luego de la divulgación responsable a Google, 36 de las 63 aplicaciones infractoras se retiraron de Google Play Store. Las 27 aplicaciones restantes se han actualizado para eliminar la biblioteca maliciosa.

Algunas de las aplicaciones destacadas incluyen:

  • L.POINT con L.PAY
  • Rompe ladrillos con deslizamiento (eliminado)
  • Gastos y presupuesto del administrador de dinero
  • TMAP – 대리, 주차, 전기차 충전, 킥보드를 티맵에서!
  • 롯데시네마
  • 지니뮤직 – genio
  • 컬쳐랜드[컬쳐캐쉬]
  • jugador gom
  • 메가박스 (eliminado), y
  • Puntuación EN VIVO, puntuación en tiempo real

Los hallazgos resaltan la necesidad de que los desarrolladores de aplicaciones sean transparentes sobre las dependencias utilizadas en su software, sin mencionar que deben tomar las medidas adecuadas para proteger la información de los usuarios contra dicho abuso.

«Los atacantes se están volviendo más sofisticados en sus intentos de infectar aplicaciones legítimas en todas las plataformas», dijo Kern Smith, vicepresidente de ingeniería de ventas para las Américas en Zimperium.

«El uso de SDK y código de terceros, y su potencial para introducir código malicioso en aplicaciones legítimas, continúa creciendo a medida que los atacantes comienzan a apuntar a la cadena de suministro de software para obtener la mayor huella posible».

PRÓXIMO SEMINARIO WEB

Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!

Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!

Guardar mi asiento!

Un portavoz de Google le dijo a The Hacker News que toma las medidas necesarias «cuando encontramos aplicaciones que violan nuestras políticas» y que notificó a los desarrolladores que implementen las correcciones necesarias para que las aplicaciones cumplan.

«Los usuarios también están protegidos por Protección de Google Playque puede advertir a los usuarios sobre aplicaciones maliciosas identificadas en dispositivos Android», agregó el gigante tecnológico.

El desarrollo se produce cuando Cyble reveló un nuevo troyano bancario para Android denominado Camaleón que ha estado activo desde enero de 2023 y está dirigido a usuarios en Australia y Polonia.

El troyano no es diferente de otros programas maliciosos bancarios detectados en la naturaleza debido a su abuso de los servicios de accesibilidad de Android para recopilar credenciales y cookies, registrar pulsaciones de teclas, evitar su desinstalación y realizar otras actividades nefastas.

También está diseñado para mostrar superposiciones no autorizadas en la parte superior de una lista específica de aplicaciones, interceptar mensajes SMS e incluso incluye una funcionalidad no utilizada que le permite descargar y ejecutar otra carga útil.

Chameleon, fiel a su nombre, tiene una inclinación por la evasión al incorporar controles anti-emulación para detectar si el dispositivo está rooteado o se está ejecutando en un entorno de depuración y, de ser así, terminarse.

Para mitigar tales amenazas, se recomienda a los usuarios que solo descarguen aplicaciones de fuentes confiables, analicen los permisos de las aplicaciones, usen contraseñas seguras, habiliten la autenticación multifactor y tengan cuidado al recibir SMS o correos electrónicos de remitentes desconocidos.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57