Doch wie gelang es der Malware überhaupt, sich in den eigentlich mittlerweile recht gut überwachten Play Store einzuschmuggeln? Laut McAfee-Forschungsteam handelte es sich bei den infizierten Apps eigentlich um vollkommen legitime Anwendungen ohne kriminelle Ambitionen. Doch sie alle hatten eine Sache gemein: Sie setzten auf eine Bibliothek eines Drittanbieters – und diese enthielt wiederum die Malware-Komponenten. Es ist davon auszugehen, dass die Entwickler diese Bibliothek nicht mit böser Absicht zu ihren Apps hinzugefügt haben.
Goldoson ist so konzipiert, dass sie bösartige Aktionen auf Geräten ausführt. Sobald eine der 60 infizierten Apps gestartet wird, registriert die Malware-Bibliothek die App und erhält ihre Konfiguration von einem Remote-Server mit einer verschleierten Domain. Diese Konfiguration legt die Funktionen fest, die die Malware auf dem Gerät ausführt, einschließlich des Anklickens von Werbung und des Sammelns von Daten.
Die Datensammelfunktion wird alle zwei Tage aktiviert, und die gesammelten Daten zusammen mit der MAC-Adresse der verbundenen Bluetooth- und WLAN-Geräte an einen C2-Server übertragen. Die Funktion zum Anklicken von Werbung wird durch das Laden und Einfügen von HTML-Code in eine versteckte, angepasste Webansicht gestartet. Diese Funktion generiert Einnahmen durch mehrfache URL-Besuche. Darüber hinaus kann die Malware Standort-Informationen abrufen. Welche Daten genau im Einzelfall gesammelt werden, hängt davon ab, welche Berechtigungen der Nutzer der heruntergeladenen App eingeräumt hat.
In ihrem Blogbeitrag wiesen die Sicherheitsforscher darüber hinaus darauf hin, dass auch Geräte mit Android 11 teilweise von den Angriffen betroffen sind, obwohl diese Android-Versionen gemeinhin als relativ sicher gegenüber Datendiebstahl gelten. Trotzdem konnten rund zehn Prozent der mit Goldoson infizierten Apps auch weiterhin Daten sammeln.
Nachdem McAfee die Sicherheitslücke an Google und die betroffenen App-Entwickler gemeldet hatte, wurden die entsprechenden Apps schnell aus dem Play Store entfernt oder so bearbeitet, dass die verseuchte Bibliothek nicht mehr verwendet wurde. Nutzer, die eine der Apps installiert haben, sollten die Anwendung deinstallieren und durch die aktuelle Version aus dem Play Store ersetzen. Dadurch kann das Goldoson-Problem behoben werden. Eine vollständige Liste der betroffenen Apps findet sich hier.
Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.
8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de