Malware Android baru bernama ‘Goldoson’ telah menyusup ke Google Play melalui 60 aplikasi resmi yang secara kolektif memiliki 100 juta unduhan.
Komponen malware jahat adalah bagian dari perpustakaan pihak ketiga yang digunakan oleh semua enam puluh aplikasi yang tanpa disadari pengembang ditambahkan ke aplikasi mereka.
Beberapa aplikasi yang terpengaruh adalah:
- L.POINT dengan L.PAY – 10 juta unduhan
- Gesek Brick Breaker – 10 juta unduhan
- Pengeluaran & Anggaran Pengelola Uang – 10 juta unduhan
- GOM Player – 5 juta unduhan
- Skor LANGSUNG, Skor Real-Time – 5 juta unduhan
- Pikicast – 5 juta unduhan
- Kompas 9: Kompas Cerdas – 1 juta unduhan
- GOM Audio – Musik, Lirik Sinkronisasi – 1 juta unduhan
- LOTTE WORLD Magicpass – 1 juta unduhan
- Bounce Brick Breaker – 1 juta unduhan
- Irisan Tak Terbatas – 1 juta unduhan
- SomNote – Aplikasi catatan yang indah – 1 juta unduhan
- Info Kereta Bawah Tanah Korea: Metroid – 1 juta unduhan
Berdasarkan Tim peneliti McAfeeyang menemukan Goldoson, malware tersebut dapat mengumpulkan data pada aplikasi yang terinstal, WiFi dan perangkat yang terhubung dengan Bluetooth, dan lokasi GPS pengguna.
Selain itu, dapat melakukan penipuan iklan dengan mengklik iklan di latar belakang tanpa persetujuan pengguna.
Mencuri data dari perangkat Android
Saat pengguna meluncurkan aplikasi yang berisi Goldoson, pustaka mendaftarkan perangkat dan menerima konfigurasinya dari server jarak jauh yang domainnya disamarkan.
Konfigurasi berisi parameter yang mengatur fungsi pencurian data dan klik iklan mana yang harus dijalankan Goldoson pada perangkat yang terinfeksi dan seberapa sering.
Fungsi pengumpulan data biasanya diatur untuk diaktifkan setiap dua hari, mengirimkan daftar aplikasi terinstal ke server C2, riwayat lokasi geografis, alamat MAC perangkat yang terhubung melalui Bluetooth dan WiFi, dan banyak lagi.
Tingkat pengumpulan data bergantung pada izin yang diberikan kepada aplikasi yang terinfeksi selama penginstalan dan versi Android. Android 11 dan yang lebih baru terlindungi dengan lebih baik dari pengumpulan data arbitrer; namun, McAfee menemukan bahwa bahkan di versi OS terbaru, Goldoson memiliki izin yang cukup untuk mengumpulkan data sensitif di 10% aplikasi.
Fungsi klik iklan terjadi dengan memuat kode HTML dan menyuntikkannya ke WebView yang disesuaikan dan tersembunyi, lalu menggunakannya untuk melakukan beberapa kunjungan URL, menghasilkan pendapatan iklan.
Korban tidak melihat indikasi aktivitas ini di perangkat mereka.
Perpustakaan dihapus, tetapi risiko masih ada
McAfee adalah anggota Google App Defense Alliance yang membantu menjaga Google Play tetap bersih dari ancaman malware/adware. Dengan demikian, para peneliti memberi tahu Google tentang temuannya, dan pengembang aplikasi yang terkena dampak diberi tahu.
Banyak aplikasi yang terpengaruh dibersihkan oleh pengembang mereka, yang menghapus perpustakaan yang melanggar, dan aplikasi yang tidak merespons tepat waktu dihapus dari Google Play karena tidak mematuhi kebijakan toko.
Google mengonfirmasi tindakan tersebut kepada BleepingComputer, menyatakan bahwa aplikasi tersebut melanggar kebijakan Google Play.
“Keamanan pengguna dan pengembang adalah inti dari Google Play. Saat kami menemukan aplikasi yang melanggar kebijakan kami, kami mengambil tindakan yang sesuai,” kata Google kepada BleepingComputer.
“Kami telah memberi tahu pengembang bahwa aplikasi mereka melanggar kebijakan Google Play dan perbaikan diperlukan agar sesuai.”
Pengguna yang memasang aplikasi yang terpengaruh dari Google Play dapat memulihkan risiko dengan menerapkan pembaruan terbaru yang tersedia.
Namun, Goldoson juga ada di toko aplikasi Android pihak ketiga, dan kemungkinan mereka masih menyimpan perpustakaan berbahaya itu tinggi.
Tanda-tanda umum infeksi adware dan malware termasuk perangkat memanas, baterai cepat habis, dan penggunaan data internet yang sangat tinggi bahkan saat perangkat tidak digunakan.
