Android 恶意软件渗透 60 个 Google Play 应用,安装量达 1 亿


Goldoson 的 McAfee 移动研究团队发现了一种名为 Goldoson 的新型 Android 恶意软件。该恶意软件收集可以收集有关已安装应用程序、WiFi 和蓝牙连接设备以及用户 GPS 位置的数据,还可以在未经用户同意的情况下通过点击后台广告来进行广告欺诈。

目前,研究团队已经发现了超过 60 个包含该第三方恶意库的应用程序,在 Google Play 应用市场上跟踪到的下载量已超过了 1 亿次,其次是韩国的应用商店 ONE store,安装量约为 800 万

一些受影响的应用程序包括:

  • L.POINT with L.PAY - 1000 万次下载
  • Swipe Brick Breaker - 1000 万次下载
  • Money Manager Expense & Budget - 1000 万次下载
  • GOM Player - 500 万次下载
  • LIVE Score, Real-Time Score - 500 万次下载
  • Pikicast - 500 万次下载
  • Compass 9: Smart Compass - 100 万次下载
  • GOM Audio - Music, Sync lyrics - 100 万次下载
  • LOTTE WORLD Magicpass - 100 万次下载
  • Bounce Brick Breaker - 100 万次下载
  • Infinite Slice - 100 万次下载
  • SomNote - Beautiful note app - 100 万次下载
  • Korea Subway Info: Metroid - 100 万次下载

Google Play 上前 9 名受 Goldoson 感染的应用程序

根据介绍,当用户启动包含 Goldoson 的应用程序时,该库会注册设备并从域被混淆的远程服务器接收其配置;库的名字和远程服务器的域名随每个应用程序的不同而不同,而且是被混淆的。该配置包含了设置 Goldoson 应在受感染设备上运行哪些数据窃取和广告点击功能以及运行频率的参数。根据这些参数,库定期检查、提取设备信息,并将它们发送到远程服务器。诸如"adds_enable"或"collect_enable"等标签指示每个功能是否可用,而其他参数则定义条件和可用性。

该库还包括在用户不知情的情况下加载网页的能力,可能会被滥用来加载广告以获取经济利益。从技术上讲,该库是加载 HTML 代码并将其注入自定义和隐藏的 WebView 中,并通过递归访问 URL 来产生隐藏的流量。

数据收集功能通常设置为每两天激活一次,但周期可能会因远程配置而改变。该信息包含一些敏感数据,包括已安装应用程序列表、位置历史记录、蓝牙和附近 Wi-Fi 的 MAC 地址等。数据收集的级别取决于受感染应用程序在安装过程中授予的权限以及 Android 版本,使用 Android 11 及更高版本的用户可以更好地防止任意数据收集。

但 McAfee 方面发现,即使是最新版本的 Android,也有大约 10% 的 Goldoson 应用程序拥有允许他们访问应用程序信息的“QUERY_ALL_PACKAGES”权限。对于 Android 6.0 或更高版本,用户可能会在运行时被要求提供位置、存储或相机等权限。如果用户允许位置权限,应用程序不仅可以访问 GPS 数据,还可以访问附近的 Wi-Fi 和蓝牙设备信息。基于 BSSID(基本服务集标识符)和 RSSI(接收信号强度指示器),应用程序可以比 GPS 更准确地确定设备的位置,尤其是在室内。

McAfee 是 Google App Defense Alliance 的成员,帮助保持 Google Play 免受恶意软件/广告软件威胁。因此,研究人员将其调查结果告知了谷歌,受影响应用程序的开发者也收到了相应的警告。

许多受影响的应用程序已被其开发人员清理,删除了有问题的库,而那些没有及时响应的应用程序则因不遵守商店政策而从 Google Play 中删除了他们的应用程序。谷歌向外媒 BleepingComputer 证实了这一举措,称这些应用违反了 Google Play 政策。“我们已通知开发者,他们的应用违反了 Google Play 政策,需要进行修复才能合规。”

从 Google Play 安装了受影响的应用程序的用户可以通过应用最新的可用更新来修复风险。然而,Goldoson 也存在于第三方 Android 应用程序商店中,并且仍然存在恶意库的可能性很高。广告软件和恶意软件感染的常见迹象包括设备发热、电池快速耗尽,以及即使设备未使用也异常高的互联网数据使用率。


相關推薦

2023-01-26

Android 从诞生之初就支持用户在应用商店之外,通过侧载的方式安装应用程序。很多用户都会使用这种方式安装一些 “海外版” 软件、某些软件的旧版本,或者是一些没有上架商店的应用程序。 这个功能可以极大程度地丰富

2022-04-12

谷歌宣布了针对 Android 应用程序开发人员的几项关键策略变更,以提高用户、Google Play 和该服务提供的应用的安全性。将在 2022 年 5 月 11 日至 11 月 1 日之间生效,给开发者足够的时间来适应新的变化。 根据 BleepingComputer 介绍

2023-11-15

谷歌宣布收紧在 Google Play 商店发布应用程序的 Android 开发者规则,引入了一些新的政策和计划,以提高整个平台的应用程序质量。 公告指出,现在将要求拥有新创建的个人 Play Console 帐户的开发者在发布前,至少 2 周内与至少

2022-05-17

据俄罗斯媒体 kommersant 报道,自 5 月 9 日谷歌发布 Android  Chrome 101 版本后,大量俄罗斯用户在  Google Play 应用商店和社交软件中发声投诉,称其  Android 设备无法通过 Google Play 商店更新 Chrome 浏览器和 Android System WebView

2023-06-30

前端应用的框架,开发者编写一套代码,可发布到 iOS、Android、Web(响应式)、以及各种小程序(微信/支付宝/百度/头条/飞书/QQ/快手/钉钉/淘宝)、快应用等多个平台。 DCloud 官方对此回应称,经过与 Google Play 沟通,此问题

2023-02-26

这项研究调查了 Google Play Store 中全球下载量最高的 40 款 Android 应用,发现近 80% 的应用的隐私政策与 Google Play 的数据安全部分所列的信息存在差异。 Google 在去年为 Play Store 推出了「数据安全」标签,开发者可以通过填写 Goog

2023-04-14

近日 Google 发布了 Android 14 的第一个 Beta 版(Android 14 Beta 1),该版本围绕隐私、安全、性能、开发者生产力和用户自定义等核心特性,同时持续改善平板电脑、可折叠设备等的大屏幕设备体验。 更智能的系统 UI 在 Android 操

2023-11-22

中回顾了 LineageOS 的历史,并介绍称目前全球有 150 万台 Android 设备采用 LineageOS。 LineageOS 是一个面向智能手机和平板电脑的自由、免费、开源的 Android 系统分支。它是深受欢迎的定制 ROM CyanogenMod 的继任者,在 2016 年首次推出

2022-09-16

更高效。 Google 开发技术推广工程师陈卓与大家分享了 Android 的最新动态。Android 13 已正式推出,该版本加入了对隐私、生产力和现代标准的支持和增强,以帮助开发者更轻松地构建优质应用与产品。 现代 Android 开发

2022-09-24

Build 220922) 中,ExTiX 使用 KDE Plasma 桌面并附带了用于运行 Android 应用程序的 Anbox。 ExTiX 22.9 主要变化 采用 KDE Plasma 作为桌面环境,附带 Anbox。要注意的是,Anbox 不支持从 DVD 或 U 盘实时运行,也不支持在 VirtualBox 中运行,

2023-03-08

Android 足够开放的特性诞生了很多可以替代 Google Play Store 的商店,F-Droid 就是其中一个知名的 Android 应用商店和软件库,F-Droid 的一大特点是主库只包含免费和开源的应用程序,用户无需注册账户就可以通过 F-Droid 的网站或客户

2023-11-26

LibreOffice 7.6.3 于昨日更新,与其同时发布的还有 Android 版 LibreOffice Viewer——已重新上架至 Google Play 商店。 LibreOffice Viewer 是 LibreOffice 的轻量级版本,专为 Android 智能手机和平板电脑设计,用于查看 OpenDocument 和 Microsoft Office

2023-02-17

上周,Google 发布了 Android 14 的首个开发者预览版,除了那些最新的功能以外,Google 似乎还正在默默酝酿一个新的计划 —— 用更现代的 Jetpack Compose 来逐步重建 Android 系统中的设置应用,取代传统的 Android View。 Jetpack Compose 是 A

2022-09-15

垄断行为的创纪录罚款,罪名是“将谷歌搜索 / Chrome 与 Android 系统捆绑在一起”。 当时是 43.4 亿欧元的罚款,如今该数字已降至 41.25 亿欧元(41.3 亿美元),但仍是欧盟有史以来最高的罚款。 维持罚款的理由主要是这三个: