Android

「Goldoson」という名前の新しい Android マルウェアが、合計で 1 億回ダウンロードされた 60 の正規アプリを通じて Google Play に侵入しました。

悪意のあるマルウェア コンポーネントは、開発者が無意識のうちにアプリに追加した 60 のアプリすべてで使用されるサードパーティ ライブラリの一部です。

影響を受けるアプリの一部は次のとおりです。

  • L.PAYでL.POINT – 1000万ダウンロード
  • スワイプ ブリック ブレーカー – 1,000 万ダウンロード
  • Money Manager Expense & Budget – 1,000 万ダウンロード
  • GOM Player – 500 万ダウンロード
  • ライブ スコア、リアルタイム スコア – 500 万ダウンロード
  • Pikicast – 500 万ダウンロード
  • Compass 9: Smart Compass – 100 万ダウンロード
  • GOM Audio – 音楽、歌詞の同期 – 100 万ダウンロード
  • LOTTE WORLD Magicpass – 100万ダウンロード
  • バウンス ブリック ブレーカー – 100 万ダウンロード
  • Infinite Slice – 100 万回のダウンロード
  • SomNote – 美しいノート アプリ – 100 万ダウンロード
  • Korea Subway Info: メトロイド – 100 万ダウンロード

Goldoson を発見したMcAfee の調査チームによると、このマルウェアは、インストールされているアプリ、WiFi および Bluetooth 接続デバイス、ユーザーの GPS 位置に関するデータを収集できるとのことです。

さらに、ユーザーの同意なしにバックグラウンドで広告をクリックすることにより、アドフラウドを実行できます。

Android デバイスからデータを盗む

ユーザーが Goldoson を含むアプリを起動すると、ライブラリはデバイスを登録し、ドメインが難読化されているリモート サーバーからその構成を受け取ります。

この構成には、Goldoson が感染したデバイスで実行する必要があるデータ盗用機能と広告クリック機能、およびその頻度を設定するパラメーターが含まれています。

ゴルドーソン構成
ゴルドーソン構成(マカフィー)

通常、データ収集機能は 2 日ごとに起動するように設定されており、インストールされているアプリのリスト、地理的な位置履歴、Bluetooth や WiFi で接続されているデバイスの MAC アドレスなどを C2 サーバーに送信します。

データを盗み出す JSON リクエスト
データを盗み出す JSON リクエスト(McAfee)

データ収集のレベルは、インストール時に感染したアプリに付与される権限と Android のバージョンによって異なります。 Android 11 以降では、任意のデータ収集に対する保護が強化されています。ただし、マカフィーは、OS の最近のバージョンでも、Goldoson がアプリの 10% で機密データを収集するのに十分な権限を持っていることを発見しました。

広告クリック機能は、HTML コードを読み込み、それをカスタマイズされた非表示の WebView に挿入し、それを使用して複数の URL アクセスを実行し、広告収入を生み出すことによって行われます。

被害者のデバイスには、このアクティビティの兆候は見られません。

ゴルドーソンの広告クリック活動
Goldoson の広告クリック活動(McAfee)

ライブラリは削除されましたが、リスクは依然として存在します

McAfee は Google App Defense Alliance のメンバーであり、Google Play をマルウェア/アドウェアの脅威から保護するのに役立ちます。そのため、研究者はその調査結果を Google に通知し、影響を受けたアプリの開発者はそれに応じて警告を受けました。

影響を受けたアプリの多くは、問題のあるライブラリを削除した開発者によってクリーンアップされ、時間内に応答しなかったアプリは、ストアのポリシーに準拠していないため、Google Play から削除されました。

Google は、アプリが Google Play のポリシーに違反していると述べて、この措置を確認しました。

「ユーザーと開発者の安全は Google Play の核心です。ポリシーに違反するアプリを見つけた場合、適切な措置を講じます」と Google は語っています。

「アプリが Google Play のポリシーに違反しており、準拠するには修正が必要であることを開発者に通知しました。」

影響を受けるアプリを Google Play からインストールしたユーザーは、利用可能な最新の更新プログラムを適用することでリスクを修復できます。

ただし、Goldoson はサードパーティの Android アプリ ストアにも存在しており、依然として悪意のあるライブラリを保有している可能性が高いです。

アドウェアとマルウェアの感染の一般的な兆候には、デバイスが過熱する、バッテリーが急速に消耗する、デバイスが使用されていないときでも異常に高いインターネット データ使用量が含まれます。