Goldoson Malware: Wahrscheinlich mehr als 100 Millionen Android-Geräte infiziert

Sicherheitsforscher von McAfee haben im Google Play Store mindestens 60 Apps entdeckt, die mit der Android-Malware Goldoson infiziert waren. Insgesamt kommen diese Anwendungen auf rund 100 Millionen Downloads allein aus dem Play Store. Etwa acht Millionen zusätzliche Downloads entfallen außerdem auf den südkoreanischen ONE Store.

Doch wie gelang es der Malware überhaupt, sich in den eigentlich mittlerweile recht gut überwachten Play Store einzuschmuggeln? Laut  McAfee-Forschungsteam handelte es sich bei den infizierten Apps eigentlich um vollkommen legitime Anwendungen ohne kriminelle Ambitionen. Doch sie alle hatten eine Sache gemein: Sie setzten auf eine Bibliothek eines Drittanbieters – und diese enthielt wiederum die Malware-Komponenten. Es ist davon auszugehen, dass die Entwickler diese Bibliothek nicht mit böser Absicht zu ihren Apps hinzugefügt haben.

Goldoson ist so konzipiert, dass sie bösartige Aktionen auf Geräten ausführt. Sobald eine der 60 infizierten Apps gestartet wird, registriert die Malware-Bibliothek die App und erhält ihre Konfiguration von einem Remote-Server mit einer verschleierten Domain. Diese Konfiguration legt die Funktionen fest, die die Malware auf dem Gerät ausführt, einschließlich des Anklickens von Werbung und des Sammelns von Daten.

Die Datensammelfunktion wird alle zwei Tage aktiviert, und die gesammelten Daten zusammen mit der MAC-Adresse der verbundenen Bluetooth- und WLAN-Geräte an einen C2-Server übertragen. Die Funktion zum Anklicken von Werbung wird durch das Laden und Einfügen von HTML-Code in eine versteckte, angepasste Webansicht gestartet. Diese Funktion generiert Einnahmen durch mehrfache URL-Besuche. Darüber hinaus kann die Malware Standort-Informationen abrufen. Welche Daten genau im Einzelfall gesammelt werden, hängt davon ab, welche Berechtigungen der Nutzer der heruntergeladenen App eingeräumt hat.

In ihrem Blogbeitrag wiesen die Sicherheitsforscher darüber hinaus darauf hin, dass auch Geräte mit Android 11 teilweise von den Angriffen betroffen sind, obwohl diese Android-Versionen gemeinhin als relativ sicher gegenüber Datendiebstahl gelten. Trotzdem konnten rund zehn Prozent der mit Goldoson infizierten Apps auch weiterhin Daten sammeln.

Nachdem McAfee die Sicherheitslücke an Google und die betroffenen App-Entwickler gemeldet hatte, wurden die entsprechenden Apps schnell aus dem Play Store entfernt oder so bearbeitet, dass die verseuchte Bibliothek nicht mehr verwendet wurde. Nutzer, die eine der Apps installiert haben, sollten die Anwendung deinstallieren und durch die aktuelle Version aus dem Play Store ersetzen. Dadurch kann das Goldoson-Problem behoben werden. Eine vollständige Liste der betroffenen Apps findet sich hier.
Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Julia Olmscheid
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel