一种名为“Goldoson”的新型 Android 恶意软件已通过 60 个合法应用，渗透到Google应用商店，累计安装量达 1 亿次。

恶意软件组件是开发人员添加到其应用程序中的所有 60 个APP使用的第三方库的一部分。

一些受影响的应用程序是：

• L.POINT with L.PAY - 10 million downloads
• Swipe Brick Breaker - 10 million downloads
• Money Manager Expense & Budget - 10 million downloads
• GOM Player - 5 million downloads
• LIVE Score, Real-Time Score - 5 million downloads
• Pikicast - 5 million downloads
• Compass 9: Smart Compass - 1 million downloads
• GOM Audio - Music, Sync lyrics - 1 million downloads
• LOTTE WORLD Magicpass - 1 million downloads
• Bounce Brick Breaker - 1 million downloads
• Infinite Slice - 1 million downloads
• SomNote - Beautiful note app - 1 million downloads
• Korea Subway Info: Metroid - 1 million downloads

据发现 Goldoson的 McAfee 研究团队称，该恶意软件可以收集有关已安装应用程序、WiFi 和蓝牙连接设备以及用户 GPS 位置的数据。

此外，它可以在未经用户同意的情况下通过在后台点击广告来进行广告欺诈。

从 Android 设备窃取数据

当用户启动包含 Goldoson 的应用程序时，该库会注册设备并从域被混淆的远程服务器接收其配置。

该配置包含设置 Goldoson 应在受感染设备上运行哪些数据窃取和广告点击功能以及运行频率的参数。

Goldoson 配置 (McAfee)

数据收集功能通常设置为每两天激活一次，向 C2 服务器发送已安装应用程序列表、地理位置历史记录、通过蓝牙和 WiFi 连接的设备的 MAC 地址等。

泄露数据的 JSON 请求 (McAfee)

数据收集的级别取决于受感染应用程序在安装过程中授予的权限以及 Android 版本。Android 11 及更高版本更好地防止任意数据收集；然而，McAfee 发现，即使在最新版本的操作系统中，Goldoson 也有足够的权限在 10% 的应用程序中收集敏感数据。

广告点击功能是通过加载 HTML 代码并将其注入定制的隐藏 WebView，然后使用它执行多个 URL 访问，产生广告收入来实现的。

受害者在他们的设备上看不到任何关于此活动的指示。

Goldoson 的广告点击活动 (McAfee)

恶意库已删除但风险仍然存在

McAfee 研究人员将其调查结果告知了谷歌，受影响应用程序的开发者也收到了相应的警报。

许多受影响的应用程序已被其开发人员清理，他们删除了有问题的库，而那些没有及时响应的应用程序则因不遵守商店政策而从 Google Play 中删除了他们的应用程序。

谷歌向 BleepingComputer 证实了这一行动，称这些应用违反了 Google Play 政策。

“用户和开发者的安全是 Google Play 的核心。当我们发现违反我们政策的应用程序时，我们会采取适当的行动。”谷歌告诉 BleepingComputer。

“我们已通知开发者，他们的应用违反了 Google Play 政策，需要进行修复才能合规。”

从 Google Play 安装了受影响的应用程序的用户可以通过应用最新的可用更新来修复风险。

然而，Goldoson 也存在于第三方 Android 应用程序商店中，并且仍然存在恶意库的可能性很高。

广告软件和恶意软件感染的常见迹象包括设备发热、电池快速耗尽，以及即使设备未使用也异常高的互联网数据使用率。

参考链接：https://www.bleepingcomputer.com/news/security/android-malware-infiltrates-60-google-play-apps-with-100m-installs/