一種名為 Goldoson 的惡意 Android 程式已潛入 Google Play 商店,並感染了 60 應用程式,而且總下載量達一億次。一些受影響的程式包括有 L.POINT with L.PAY 、 Swipe Brick Breaker 、 GOM Player 等。
據發現 Goldoson 的 McAfee 研究團隊表示,該惡意程式會收集裝置上已安裝的應用程式、WiFi 和藍牙連接設備以及用戶 GPS 位置等的相關數據。此外,它可以在用戶不知情的狀況下通過後台從而點擊廣告來進行自動刷流量。
Goldoson 的運作方式
當用戶啟動包含 Goldoson 的應用程式時, Goldoson 函式庫便會註冊設備並取得遠端配置,之後便會定期檢查及取得裝置相關資料,再將它們傳送至遠端伺服器。
如“ads_enable”或“collect_enable”之類的標籤指示每個功能是否可用,而其他參數則定義條件和可用性。
該函式庫包括在用戶不知情的情況下載入網頁。這代表不斷點擊廣告以獲取廣告收入。從技術層面來說,該函式庫會加載 HTML 代碼並將其註入到自定義和隱藏的 WebView 中,並通過不斷自我重覆的進入 URL 來產生隱藏的流量。
每兩天發送一次數據,但周期可能會因遠端配置而改變。會收集裝置上已安裝的應用程式、WiFi 和藍牙連接設備以及用戶 GPS 位置等的相關數據。
McAfee提醒,隨著應用程式的規模不斷擴大並利用更多的外部函式庫,開發人員應該要提前了解當前所使用的函式庫,並採取預防措施來保護用戶的個人資料。
已識別的 Goldoson 域名
bhuroid.com
enestcon.com
htyyed.com
discess.net
gadlito.com
gerfane.com
visceun.com
onanico.net
methinno.net
goldoson.net
dalefs.com
openwor.com
thervide.net
soildonutkiel.com
treffaas.com
sorrowdeepkold.com
hjorsjopa.com
dggerys.com
ridinra.com
necktro.com
fuerob.com
phyerh.net
ojiskorp.net
rouperdo.net
tiffyre.net
superdonaldkood.com
soridok2kpop.com