Google Play’e ‘Goldoson’ adlı yeni bir Android zararlı yazılımı sızdı ve bu zararlı yazılım toplamda 100 milyon indirme sayısına ulaşan 60 yasal uygulamada tespit edildi. BleepingComputer’ın haberine göre, kötü niyetli zararlı yazılım bileşeni, geliştiricilerin yanlışlıkla altmış uygulamanın tamamına dahil ettikleri üçüncü taraf bir kütüphaneye entegre edildi. McAfee’nin araştırma ekibi tarafından keşfedilen Android zararlı yazılımı, kullanıcının yüklü uygulamaları, WiFi ve Bluetooth bağlantılı cihazları, GPS konumları hakkında bilgiler de dahil olmak üzere bir dizi hassas veri toplayabiliyor. Ayrıca, rapora göre, kullanıcının izni olmadan arka planda reklamlara tıklayarak reklam sahtekarlığı gerçekleştirebilir. Bir kullanıcı Goldoson içeren bir uygulamayı çalıştırdığında, kütüphane cihazı kaydeder ve yapılandırmasını gizlenmiş bir uzak sunucudan alır. Kurulum, Goldoson’un virüs bulaşmış cihazda yapması gereken veri çalma ve reklam tıklama işlevlerini, bunların ne sıklıkta yapılacağını belirler.
Raporda ayrıca, veri toplama mekanizmasının genellikle her iki günde bir etkinleşecek şekilde ayarlandığı ve yüklü uygulamaların listesini, coğrafi konum geçmişini, Bluetooth ve WiFi üzerinden bağlanan cihazların MAC adreslerini ve diğer bilgileri C2 sunucusuna aktardığı belirtildi. Toplanan veri miktarı, yükleme sırasında virüslü uygulamaya verilen izinlerin yanı sıra Android sürümüne göre belirlenir. Raporda, Android 11 sonrası keyfi veri toplamaya karşı daha iyi korunmasına rağmen, araştırmacıların Goldoson’un işletim sisteminin daha yeni sürümlerinde bile uygulamaların yüzde 10’unda hassas verileri elde etmek için yeterli hakka sahip olduğunu keşfettikleri belirtildi. Reklam geliri, HTML kodunun yüklenip özelleştirilmiş, gizli bir WebView’e enjekte edilmesi ve ardından bunun çok sayıda URL ziyareti gerçekleştirmek için kullanılmasıyla elde edilir. Kurbanın cihazında bu eyleme ilişkin herhangi bir gösterge bulunmamaktadır. Ocak ayında Google’ın Tehdit Analiz Grubu, çeşitli platformlarda Çin yanlısı dezenformasyon yayan ve ‘Dragonbridge’ ya da ‘Spamouflage Dragon’ olarak bilinen bir grupla ilişkili binlerce hesabı sonlandırdı.Teknoloji devine göre, Dragonbridge yeni Google Hesaplarını toplu hesap satıcılarından alıyor hatta zaman zaman daha önce dezenformasyon videoları ve blogları yayınlamak için yeniden düzenlenmiş finansal motivasyona sahip aktörler tarafından kullanılan hesapları bile kullanıyorlar.