MALWARE ANDROID ‘GOLDOSON’. MENGINFEKSI 60 APLIKASI DI GOOGLE PLAY STORE DAN ONE STORE

McAfee Labs, yang merupakan bagian dari perusahaan perangkat lunak antivirus McAfee, menemukan pustaka perangkat lunak (software library) jahat yang diduga mengumpulkan daftar aplikasi terinstal, riwayat informasi perangkat Wi-Fi dan Bluetooth, bahkan termasuk lokasi GPS terdekat dari perangkat pengguna. Tim Riset Seluler McAfee menamakan pustaka perangkat lunak dengan sebutan “Goldson”.

Selain aktivitas tersebut, Goldson juga dipersenjatai dengan kemampuan untuk penipuan iklan (fraud advertisement) dan akan mengklik iklan di latar belakang (background) tanpa izin pengguna. Menurut tim peneliti, terdapat lebih dari 60 aplikasi yang berisi pustaka jahat pihak ketiga ini. Total pengguna yang telah mengunduh lebih dari 100 juta di toko aplikasi Google Play Store dan One Store di Korea Selatan. Pustaka malware tersebut merupakan bagian dari pustaka pihak ketiga yang ditambahkan oleh pengembang ke aplikasi resmi mereka.

Perangkat lunak keamanan McAfee Mobile Security mendeteksi ancaman tersebut sebagai “Android/ Goldoson” yang menargetkan pengguna ponsel Android. Google sebagai vendor dari play store segera mengambil tindakan untuk menginfokan kepada pengembang aplikasi saat diberitahukan adanya aplikasi yang terinfeksi di toko aplikasinya. Sejumlah aplikasi sudah dihapus dari Google Play Store, tapi yang lain diperbarui oleh pengembang resminya. Oleh karenanya, McAfee mendesak agar pengguna aplikasi yang terkena dampak segera meng-update aplikasi.

Menurut peneliti, pendaftaran perangkat dan konfigurasi yang diterima dilakukan dari jarak jauh pada saat seluruh aplikasi tersebut sedang berjalan. . Nama pustaka dan domain server jarak jauh pun bervariasi untuk setiap aplikasi dan disamarkan. Nama “Gold o son” diambil dari nama domain pertama yang ditemukan.

Konfigurasi tadi berisi parameter yang mengatur fungsi pencurian data dan klik iklan mana yang harus dijalankan Goldoson setelah perangkat berhasil diinfeksi. Fungsi pengumpulan data biasanya diatur untuk aktif setiap dua hari, mengirimkan daftar aplikasi terinstal ke server peretas, riwayat lokasi geografis, alamat MAC perangkat yang terhubung melalui Bluetooth dan WiFi, dan lain-lain.

Tingkat pengumpulan data bergantung pada izin yang diberikan pengguna kepada aplikasi yang terinfeksi selama penginstalan dan versi Android. Android versi 11 atau yang lebih baru reltif lebih baik dalam hal keamanan dan sangat terlindungi. Namun dalam versi terbaru, Goldoson menggunakan izin aplikasi untuk mengumpulkan data sensitif di 10 persen aplikasi. Fungsi klik iklan terjadi dengan memuat kode HTML dan menyuntikkannya ke WebView yang tersembunyi, kemudian menggunakannya untuk mengunjungi beberapa URL sehingga menghasilkan pendapatan iklan. Korban tidak tidak mengetahui indikasi aktivitas ini di perangkat mereka. McAfee merupakan anggota Google App Defense Alliance yang membantu menjaga Google Play agar tetap bersih dan aman dari ancaman malware/adware. Google mengonfirmasi bahwa tindakan aplikasi tersebut melanggar kebijakan Google Play.

Menurut Google Keamanan pengguna dan pengembang merupakan tujuan utama dari Google Play. Saat Google menemukan aplikasi yang melanggar kebijakan mereka, maka Google mengambil tindakan yang sesuai ketentuan. Menurut Google tanda-tanda umum infeksi adware dan malware, di antaranya ponsel menjadi lebih panas, baterai cepat habis, dan penggunaan data internet yang sangat tinggi, bahkan saat perangkat tidak digunakan.

Link: McAfee Blog