Un nuovo malware Android chiamato ‘Goldoson’ si è infiltrato su Google Play attraverso 60 app legittime che, in totale, vantano 100 milioni di download. Il componente malevolo fa parte di una libreria di terze parti utilizzata da tutte queste app e aggiunta dagli sviluppatori senza saperne delle potenziali minacce.
App colpite dal malware Goldoson
Tra le app interessate troviamo L.POINT con L.PAY, Swipe Brick Breaker, Money Manager Expense & Budget, GOM Player, LIVE Score, Real-Time Score, Pikicast e molti altri. Il team di ricerca di McAfee, che ha scoperto Goldoson, rileva che il malware può raccogliere dati sulle app installate, i dispositivi connessi tramite WiFi e Bluetooth e le posizioni GPS degli utenti.
Furto di dati e frode pubblicitaria
Goldoson può anche commettere frodi pubblicitarie cliccando sugli annunci in background senza il consenso dell’utente. Quando si avvia un’app infetta, la libreria registra il dispositivo e riceve la configurazione da un server remoto con dominio oscurato. La configurazione contiene parametri che stabiliscono quali funzioni di furto dati e clic sugli annunci Goldoson deve eseguire sul dispositivo infetto e con quale frequenza.
Livello di raccolta dati e permessi concessi
Il livello di raccolta dati dipende dai permessi concessi all’app infetta durante l’installazione e dalla versione di Android. Anche se Android 11 e versioni successive sono meglio protette, McAfee ha scoperto che Goldoson ha comunque abbastanza permessi per raccogliere dati sensibili nel 10% delle app. La funzione di clic sugli annunci viene eseguita caricando codice HTML in una WebView nascosta e personalizzata, generando entrate pubblicitarie senza che l’utente se ne accorga.
Rimozione della libreria e rischio residuo
McAfee, membro della Google App Defense Alliance, ha informato Google delle sue scoperte e gli sviluppatori delle app interessate sono stati avvisati. Molti di loro hanno rimosso la libreria incriminata, mentre le app che non hanno risposto in tempo sono state rimosse da Google Play. Gli utenti che hanno installato un’app infetta possono mitigare il rischio aggiornando all’ultima versione disponibile. Tuttavia, Goldoson è presente anche su store Android di terze parti, dove il rischio di presenza della libreria malevola rimane alto.
