Malware Android baru bernama ‘Goldoson’ telah menyusup ke Google Play melalui 60 aplikasi resmi yang secara kolektif memiliki 100 juta unduhan.
Komponen malware jahat adalah bagian dari library atau perpustakaan pihak ketiga yang tanpa disadari pengembang ditambahkan ke aplikasi mereka.
Menurut tim riset McAfee yang menemukan Goldoson, malware tersebut dapat mengumpulkan data pada aplikasi yang terinstal, WiFi dan perangkat yang terhubung dengan Bluetooth, dan lokasi GPS pengguna.
Selain itu, dapat melakukan penipuan iklan dengan mengklik iklan di latar belakang tanpa persetujuan pengguna.
Saat pengguna menginstal aplikasi yang berisi Goldoson, pustaka mendaftarkan perangkat dan menerima konfigurasinya dari server jarak jauh yang domainnya disamarkan.
Konfigurasi berisi parameter yang mengatur fungsi pencurian data dan klik iklan mana yang harus dijalankan Goldoson pada perangkat yang terinfeksi dan seberapa sering.
Fungsi pengumpulan data biasanya diatur untuk diaktifkan setiap dua hari, mengirimkan daftar aplikasi terinstal ke server C2, riwayat lokasi geografis, alamat MAC perangkat yang terhubung melalui Bluetooth dan WiFi, dan banyak lagi.
Tingkat pengumpulan data bergantung pada izin yang diberikan kepada aplikasi yang terinfeksi selama penginstalan dan versi Android.
Pada Android 11 dan yang lebih baru terlindungi dengan lebih baik dari pengumpulan data arbitrer. Namun, McAfee menemukan bahwa bahkan di versi OS terbaru, Goldoson memiliki izin yang cukup untuk mengumpulkan data sensitif di 10% aplikasi.
Fungsi klik iklan terjadi dengan memuat kode HTML dan menyuntikkannya ke WebView yang disesuaikan dan tersembunyi, lalu menggunakannya untuk melakukan beberapa kunjungan URL, menghasilkan pendapatan iklan. Korban tidak melihat indikasi aktivitas ini di perangkat mereka.
Google mengonfirmasi tindakan tersebut kepada BleepingComputer, menyatakan bahwa aplikasi tersebut melanggar kebijakan Google Play.
“Keamanan pengguna dan pengembang adalah inti dari Google Play. Saat kami menemukan aplikasi yang melanggar kebijakan kami, kami mengambil tindakan yang sesuai,” kata Google kepada BleepingComputer, dikutip Selasa (18/4/2023).
“Kami telah memberi tahu pengembang bahwa aplikasi mereka melanggar kebijakan Google Play dan perbaikan diperlukan agar sesuai.”
Pengguna yang memasang aplikasi yang terpengaruh dari Google Play dapat memulihkan risiko dengan menerapkan pembaruan terbaru yang tersedia.
Tanda-tanda umum infeksi adware dan malware termasuk perangkat gampang panas, baterai cepat habis, dan penggunaan data internet yang sangat tinggi bahkan saat perangkat tidak digunakan.
Berikut ini beberapa aplikasi yang terdampak malware Goldoson
L.POINT with L.PAY
Swipe Brick Breaker
Money Manager Expense & Budget
GOM Player
LIVE Score, Real-Time Score
Pikicast
Compass 9: Smart Compass
GOM Audio – Music, Sync lyrics
LOTTE WORLD Magicpass
Bounce Brick Breaker
Infinite Slice
SomNote – Beautiful note app
Korea Subway Info: Metroid