Sicherheitsforscher von McAfee haben im Google Play Store mindestens 60 Apps entdeckt, die mit der Android-Malware Goldoson infiziert waren. Insgesamt kommen diese Anwendungen auf rund 100 Millionen Downloads allein aus dem Play Store. Etwa acht Millionen zusätzliche Downloads entfallen außerdem auf den südkoreanischen ONE Store.
Doch wie gelang es der Malware überhaupt, sich in den eigentlich mittlerweile recht gut überwachten Play Store einzuschmuggeln? Laut McAfee-Forschungsteam handelte es sich bei den infizierten Apps eigentlich um vollkommen legitime Anwendungen ohne kriminelle Ambitionen. Doch sie alle hatten eine Sache gemein: Sie setzten auf eine Bibliothek eines Drittanbieters – und diese enthielt wiederum die Malware-Komponenten. Es ist davon auszugehen, dass die Entwickler diese Bibliothek nicht mit böser Absicht zu ihren Apps hinzugefügt haben.
Goldoson ist so konzipiert, dass sie bösartige Aktionen auf Geräten ausführt. Sobald eine der 60 infizierten Apps gestartet wird, registriert die Malware-Bibliothek die App und erhält ihre Konfiguration von einem Remote-Server mit einer verschleierten Domain. Diese Konfiguration legt die Funktionen fest, die die Malware auf dem Gerät ausführt, einschließlich des Anklickens von Werbung und des Sammelns von Daten.
Die Datensammelfunktion wird alle zwei Tage aktiviert, und die gesammelten Daten zusammen mit der MAC-Adresse der verbundenen Bluetooth- und WLAN-Geräte an einen C2-Server übertragen. Die Funktion zum Anklicken von Werbung wird durch das Laden und Einfügen von HTML-Code in eine versteckte, angepasste Webansicht gestartet. Diese Funktion generiert Einnahmen durch mehrfache URL-Besuche. Darüber hinaus kann die Malware Standort-Informationen abrufen. Welche Daten genau im Einzelfall gesammelt werden, hängt davon ab, welche Berechtigungen der Nutzer der heruntergeladenen App eingeräumt hat.
In ihrem Blogbeitrag wiesen die Sicherheitsforscher darüber hinaus darauf hin, dass auch Geräte mit Android 11 teilweise von den Angriffen betroffen sind, obwohl diese Android-Versionen gemeinhin als relativ sicher gegenüber Datendiebstahl gelten. Trotzdem konnten rund zehn Prozent der mit Goldoson infizierten Apps auch weiterhin Daten sammeln.
Nachdem McAfee die Sicherheitslücke an Google und die betroffenen App-Entwickler gemeldet hatte, wurden die entsprechenden Apps schnell aus dem Play Store entfernt oder so bearbeitet, dass die verseuchte Bibliothek nicht mehr verwendet wurde. Nutzer, die eine der Apps installiert haben, sollten die Anwendung deinstallieren und durch die aktuelle Version aus dem Play Store ersetzen. Dadurch kann das Goldoson-Problem behoben werden. Eine vollständige Liste der betroffenen Apps findet sich hier.
Doch wie gelang es der Malware überhaupt, sich in den eigentlich mittlerweile recht gut überwachten Play Store einzuschmuggeln? Laut McAfee-Forschungsteam handelte es sich bei den infizierten Apps eigentlich um vollkommen legitime Anwendungen ohne kriminelle Ambitionen. Doch sie alle hatten eine Sache gemein: Sie setzten auf eine Bibliothek eines Drittanbieters – und diese enthielt wiederum die Malware-Komponenten. Es ist davon auszugehen, dass die Entwickler diese Bibliothek nicht mit böser Absicht zu ihren Apps hinzugefügt haben.
Goldoson ist so konzipiert, dass sie bösartige Aktionen auf Geräten ausführt. Sobald eine der 60 infizierten Apps gestartet wird, registriert die Malware-Bibliothek die App und erhält ihre Konfiguration von einem Remote-Server mit einer verschleierten Domain. Diese Konfiguration legt die Funktionen fest, die die Malware auf dem Gerät ausführt, einschließlich des Anklickens von Werbung und des Sammelns von Daten.
Die Datensammelfunktion wird alle zwei Tage aktiviert, und die gesammelten Daten zusammen mit der MAC-Adresse der verbundenen Bluetooth- und WLAN-Geräte an einen C2-Server übertragen. Die Funktion zum Anklicken von Werbung wird durch das Laden und Einfügen von HTML-Code in eine versteckte, angepasste Webansicht gestartet. Diese Funktion generiert Einnahmen durch mehrfache URL-Besuche. Darüber hinaus kann die Malware Standort-Informationen abrufen. Welche Daten genau im Einzelfall gesammelt werden, hängt davon ab, welche Berechtigungen der Nutzer der heruntergeladenen App eingeräumt hat.
In ihrem Blogbeitrag wiesen die Sicherheitsforscher darüber hinaus darauf hin, dass auch Geräte mit Android 11 teilweise von den Angriffen betroffen sind, obwohl diese Android-Versionen gemeinhin als relativ sicher gegenüber Datendiebstahl gelten. Trotzdem konnten rund zehn Prozent der mit Goldoson infizierten Apps auch weiterhin Daten sammeln.
Nachdem McAfee die Sicherheitslücke an Google und die betroffenen App-Entwickler gemeldet hatte, wurden die entsprechenden Apps schnell aus dem Play Store entfernt oder so bearbeitet, dass die verseuchte Bibliothek nicht mehr verwendet wurde. Nutzer, die eine der Apps installiert haben, sollten die Anwendung deinstallieren und durch die aktuelle Version aus dem Play Store ersetzen. Dadurch kann das Goldoson-Problem behoben werden. Eine vollständige Liste der betroffenen Apps findet sich hier.
