Bisnis.com, JAKARTA - Malware Android baru bernama 'Goldoson' telah menyusup ke Google Play Store melalui 60 aplikasi resmi yang secara kolektif memiliki 100 juta unduhan.
Komponen malware jahat adalah bagian kumpulan data pihak ketiga yang digunakan oleh enam puluh aplikasi yang tanpa disadari ditambahkan ke aplikasi tersebut.
L.POINT with L.PAY - 10 juta download
Swipe Brick Breaker - 10 juta download
Money Manager Expense & Budget - 10 juta download
GOM Player - 5 juta download
LIVE Score, Real-Time Score - 5 juta download
Pikicast – 5 juta download
Compass 9: Smart Compass - 1 juta download
GOM Audio - Music, Sync lyrics - 1 juta download
LOTTE WORLD Magicpass - 1 juta download
Bounce Brick Breaker - 1 juta download
Infinite Slice - 1 juta download
SomNote - Beautiful note app - 1 juta download
Korea Subway Info: Metroid - 1 juta download
Menurut tim riset McAfee, yang menemukan Goldoson, malware tersebut dapat mengumpulkan data pada aplikasi yang terinstal, WiFi dan perangkat yang terhubung dengan Bluetooth, dan lokasi GPS pengguna.
Selain itu, dapat melakukan penipuan iklan dengan mengklik iklan di latar belakang tanpa persetujuan pengguna.
Mencuri data dari perangkat Android
Saat pengguna meluncurkan aplikasi yang berisi Goldoson, pustaka mendaftarkan perangkat dan menerima konfigurasinya dari server jarak jauh yang domainnya disamarkan.
Konfigurasi berisi parameter yang mengatur fungsi pencurian data dan klik iklan mana yang harus dijalankan Goldoson pada perangkat yang terinfeksi.
Fungsi pengumpulan data biasanya diatur untuk diaktifkan setiap dua hari, mengirimkan daftar aplikasi terinstal ke server C2, riwayat lokasi geografis, alamat MAC perangkat yang terhubung melalui Bluetooth dan WiFi, dan banyak lagi.
Tingkat pengumpulan data bergantung pada izin yang diberikan kepada aplikasi yang terinfeksi selama penginstalan dan versi Android.
Android 11 dan yang lebih baru terlindungi dengan lebih baik dari pengumpulan data arbitrer; namun, McAfee menemukan bahwa bahkan di versi OS terbaru, Goldoson memiliki izin yang cukup untuk mengumpulkan data sensitif di 10% aplikasi.
Fungsi klik iklan terjadi dengan memuat kode HTML dan menyuntikkannya ke WebView yang disesuaikan dan tersembunyi, lalu menggunakannya untuk melakukan beberapa kunjungan URL, menghasilkan pendapatan iklan.
Sementara itu, korban tidak melihat indikasi aktivitas ini di perangkat mereka sehingga sangat berbahaya.
