0
0
O malware que pode roubar dados e cometer fraudes de cliques pegou carona em 60 aplicativos móveis, por meio de uma biblioteca de terceiros infectada. Os aplicativos infectados registraram mais de 100 milhões de downloads da loja oficial do Google Play e estão disponíveis em outras lojas de aplicativos na Coreia do Sul, descobriram os pesquisadores.
Goldoson, descoberto e nomeado por pesquisadores do McAfee Labs, pode realizar uma variedade de atividades nefastas em dispositivos baseados em Android, disseram eles em um post no blog. O malware pode coletar listas de aplicativos instalados, bem como farejar a localização de dispositivos próximos via Wi-Fi e Bluetooth. Ele também pode realizar fraudes de anúncios clicando em anúncios em segundo plano sem o consentimento ou conhecimento do usuário, disseram os pesquisadores.
Alguns dos aplicativos populares afetados pelo Goldoson incluem L.POINT com L.PAY, Swipe Brick Breaker, Money Manager Expense & Budget, Lotte Cinema, Live Score e GOM. Os pesquisadores encontraram mais de 100 milhões de downloads de aplicativos infectados no Google Play e 8 milhões na ONE, a principal loja de aplicativos móveis da Coreia do Sul, disseram eles.
A McAfee relatou os aplicativos infectados ao Google, que rapidamente notificou os desenvolvedores de que seus aplicativos violavam as políticas do Google Play e que precisavam corrigir seus aplicativos, disseram os pesquisadores. Eles não mencionam em seu post se entraram em contato com a ONE app store.
Alguns aplicativos foram removidos do Google Play, enquanto outros foram atualizados pelos desenvolvedores oficiais. A McAfee está incentivando os usuários de qualquer um dos aplicativos afetados – cuja lista está no post – a atualizá-los para a versão mais recente para remover qualquer vestígio de Goldoson de seus dispositivos.
“Embora a biblioteca maliciosa tenha sido feita por outra pessoa, não pelos desenvolvedores de aplicativos, o risco para os instaladores dos aplicativos permanece”, escreveu SangRyol Ryu, da equipe de pesquisa móvel da McAfee, no post.
Como funciona o Goldoson
A biblioteca Goldoson registra um dispositivo logo após infectá-lo, adquirindo configurações remotas de um servidor de comando e controle (C2) à medida que o aplicativo é executado simultaneamente. Ele evita a detecção variando e ofuscando o nome da biblioteca e o domínio do servidor remoto com cada aplicativo; Os desenvolvedores o apelidaram de “Goldoson”, porque este é o primeiro nome de domínio que encontraram, disseram eles.
Uma configuração remota contém os parâmetros para cada uma das funcionalidades do aplicativo e especifica com que frequência ele executa os componentes.
“Com base nos parâmetros, a biblioteca verifica periodicamente, extrai informações do dispositivo e as envia para os servidores remotos”, escreveu Ryu.
A capacidade do Goldoson de coletar dados de todos os aplicativos no dispositivo vem de uma permissão chamada “QUERY_ALL_PACKAGES”, que ele solicita do dispositivo. Os usuários de dispositivos com Android versão 11 ou superior instalada parecem estar mais protegidos contra essa consulta, com apenas cerca de 10% dos casos observados pela McAfee demonstrando vulnerabilidade, disseram os pesquisadores.
O malware solicita permissões para acessar o local, o armazenamento ou a câmera em tempo de execução a partir de dispositivos que executam o Android 6.0 ou superior. Se a permissão de localização for permitida, o aplicativo infectado pode acessar não apenas dados de GPS, mas também informações de Wi-Fi e Bluetooth de dispositivos próximos, o que lhes dá mais precisão na localização do dispositivo infectado, especialmente em ambientes fechados, observaram os pesquisadores, acrescentando que a capacidade de identificar ou descobrir a localização dos usuários os coloca em risco de mais atividades maliciosas.
O Goldoson também pode carregar páginas da Web sem que o usuário saiba – uma funcionalidade que os invasores podem abusar para carregar anúncios para obter ganhos financeiros, disseram os pesquisadores. Em termos técnicos, isso funciona porque a biblioteca carrega o código HTML e o injeta em um WebView personalizado e oculto, depois produz tráfego oculto visitando as URLs recursivamente, explicaram.
O Goldoson envia dados coletados de dispositivos a cada dois dias para os invasores, que podem alterar esse ciclo usando a configuração remota.
Risco de componente de aplicativo móvel de terceiros
A existência do Goldoson demonstra mais uma vez a rapidez com que a atividade maliciosa pode se espalhar quando faz parte de componentes de terceiros ou de código aberto que os desenvolvedores constroem em aplicativos sem saber que estão infectados, observaram os pesquisadores.
Isso foi bem documentado no desastre do Apache Log4j – no qual uma biblioteca de log usada em quase todos os ambientes Java foi encontrada para conter uma vulnerabilidade facilmente explorável. As repercussões do Log4j – que foi declarado uma ameaça cibernética endêmica pelo Departamento de Segurança Interna por causa de quantos aplicativos existentes permanecem vulneráveis – provavelmente serão sentidas nos próximos anos.
De fato, essa capacidade de ganhar uma grande pegada maliciosa rapidamente e sem que as organizações ou os desenvolvedores saibam – e, portanto, antes que possam reagir – não foi perdida pelos invasores. Em resposta, eles estão cada vez mais visando a cadeia de suprimentos de software com malware ou explorações para o Log4j e outras vulnerabilidades conhecidas – e continuarão a fazê-lo à medida que seus sucessos aumentam, observa um especialista em segurança.
“Os invasores estão se tornando mais sofisticados em suas tentativas de infectar aplicativos legítimos em todas as plataformas”, diz Kern Smith, vice-presidente para as Américas de engenharia de vendas da empresa de segurança móvel Zimperium.
Demanda por Transparência
A transparência entre as organizações e as equipes de desenvolvedores parece ser a melhor maneira de mitigar os problemas da cadeia de suprimentos de software, disseram especialistas.
Tanto os desenvolvedores quanto as organizações que usam aplicativos que incluem componentes de código aberto ou de terceiros “precisam avaliar os riscos desses aplicativos e seus componentes, especialmente no que se refere a uma lista de materiais de software (SBOM)”, que fornece um inventário do que compreende os componentes de software, diz Smith.
De fato, os desenvolvedores devem estar dispostos a revelar quais bibliotecas e outros componentes são usados em aplicativos que desenvolvem e entregam para proteger os usuários e evitar o comprometimento por meio de componentes infectados ou vulneráveis, disseram pesquisadores da McAfee.
Os desenvolvedores de bibliotecas externas também precisam ser transparentes sobre seu código para que as organizações e os desenvolvedores que os aproveitam possam entender seu comportamento e, assim, estar cientes rapidamente de qualquer problema que possa surgir, disseram eles.
FONTE: DARK READING