Google Play'e 'Goldoson' adı verilen yeni bir Android kötü amaçlı yazılımı sızdı ve bu yazılım toplamda 100 milyon indirmeye sahip 60 yasal uygulamada keşfedildi.

BleepingComputer'ın haberine göre, kötü niyetli zararlı yazılım bileşeni, geliştiricilerin yanlışlıkla altmış uygulamanın tamamına dahil ettiği üçüncü taraf bir kütüphaneye entegre edildi.

McAfee'nin araştırma ekibi tarafından keşfedilen Android zararlı yazılımı, kullanıcının yüklü uygulamaları, WiFi ve Bluetooth bağlantılı cihazları ve GPS konumları hakkında bilgiler de dahil olmak üzere bir dizi hassas veri toplayabiliyor.

Rapora göre ayrıca, kullanıcının izni olmadan arka planda reklamlara tıklayarak reklam sahtekarlığı yapabiliyor.

Bir kullanıcı Goldoson içeren bir uygulamayı çalıştırdığında, kütüphane cihazı kaydeder ve yapılandırmasını gizlenmiş bir uzak sunucudan alır.

Kurulum, Goldoson'un virüslü cihazda hangi veri çalma ve reklam tıklama işlevlerini ne sıklıkta yapması gerektiğini belirtiyor.

Raporda ayrıca, veri toplama mekanizmasının genellikle her iki günde bir etkinleşecek şekilde ayarlandığı ve yüklü uygulamaların bir listesini, coğrafi konum geçmişini, Bluetooth ve WiFi üzerinden bağlanan cihazların MAC adreslerini ve diğer bilgileri C2 sunucusuna aktardığı belirtildi.

Toplanan veri miktarı, yükleme sırasında virüslü uygulamaya verilen izinlerin yanı sıra Android sürümüne göre belirlenir.

Raporda, Android 11'den sonraki sürümlerin keyfi veri toplamaya karşı daha iyi korunmasına rağmen, araştırmacıların Goldoson'un işletim sisteminin daha yeni sürümlerinde bile uygulamaların yüzde 10'unda hassas verileri elde etmek için yeterli hakka sahip olduğunu keşfettikleri belirtildi.

Reklam geliri, HTML kodunun yüklenip özelleştirilmiş, gizli bir WebView'e enjekte edilmesi ve ardından bunun çok sayıda URL ziyareti gerçekleştirmek için kullanılmasıyla elde ediliyor.

Kurbanın cihazında bu eyleme dair herhangi bir belirti yoktur.

Ocak ayında Google'ın Tehdit Analiz Grubu, çeşitli platformlarda Çin yanlısı dezenformasyon yayan ve 'Dragonbridge' ya da 'Spamouflage Dragon' olarak bilinen bir grupla ilişkili binlerce hesabı sonlandırmıştı.

Teknoloji devine göre, Dragonbridge yeni Google Hesaplarını toplu hesap satıcılarından alıyor ve hatta zaman zaman daha önce dezenformasyon videoları ve blogları yayınlamak için yeniden düzenlenmiş mali motivasyonlu aktörler tarafından kullanılan hesapları kullanıyorlar.