McAfee می نویسد که به محض نصب برنامه ای که از گلدوسون استفاده می کند، کتابخانه دستگاه را ثبت می کند و تنظیمات راه دور آن را همزمان با اجرای برنامه دریافت می کند. نام کتابخانه و دامنه سرور راه دور با هر برنامه متفاوت است و دومی مبهم است.
تیم تحقیقاتی McAfee یک کتابخانه نرم افزاری شخص ثالث به نام Goldoson را کشف کرد که اطلاعات حساس را جمع آوری می کند و کلاهبرداری تبلیغاتی انجام می دهد. با این حال، توسعه دهندگانی که از گلدوسون استفاده کردند متوجه نبودند که یک جزء بدافزار مخرب را به برنامه های خود اضافه می کنند.
گلدوسون بطور محتاطانه صفحات وب را در پس زمینه بارگذاری می کند
McAfee برنامههای توهینآمیز را به Google گزارش داد، که به نوبه خود به توسعهدهندگان اطلاع داد که برنامههایشان خطمشیهای Google Play را نقض کرده و نیاز به تعمیر دارند. کسانی که به موقع پاسخ ندادند، برنامههایشان از Play Store حذف شدند، در حالی که برنامههایی که باقی مانده بودند توسط برنامهنویسانشان بهروزرسانی شدهاند. هر کسی که ممکن است یکی از این برنامه ها را نصب کرده باشد باید آنها را به آخرین نسخه خود به روز کند.
برخی از برنامههای آسیبدیده با بیشترین تعداد دانلود عبارتند از L.Point با L.Pay، Swipe Brick Breaker، Money Manager Expense & Budget، GOM Player، Live Score، GOM Audio و Compass 9. بیش از 100 میلیون مورد بوده است. دانلود این برنامه ها از طریق فروشگاه Google Play، در حالی که حدود 8 میلیون از فروشگاه ONE، فروشگاه برنامه پیشرو در کره دریافت شده است. همه برنامههای تأثیرگذار را اینجا بررسی کنید.
به طور خلاصه: علیرغم تدابیر امنیتی گوگل برای نگه داشتن برنامههای آلوده به بدافزار از فروشگاه Play خود، نرمافزارهای مخرب همچنان از بین میروند. آخرین مورد از اینها یک کلیک تبلیغاتی است که حریم خصوصی را به سرقت می برد که در 60 برنامه یافت شده است که بیش از 100 میلیون بار دانلود شده است.
پس از نصب، گلدوسون میتواند دادههای مربوط به برنامههای نصب شده روی دستگاه، تاریخچه دستگاههای متصل به WiFi و بلوتوث و مکانهای GPS مجاور را جمعآوری کند.
خبر خوب این است که کاربران دارای دستگاههای دارای اندروید 11 و بالاتر در برابر برنامههایی که سعی در جمعآوری اطلاعات سایر برنامههای نصب شده روی دستگاه دارند، محافظت بیشتری دارند. با این حال، McAfee دریافت که حتی در آخرین نسخه سیستم عامل، گلدوسون قادر به جمع آوری اطلاعات حساس در حدود 10٪ از برنامه های نصب شده است. مقدار داده جمع آوری شده بستگی به تعداد مجوزهایی دارد که کاربر در طول فرآیند نصب به برنامه اعطا می کند.
اما موذیترین بخش بدافزار این است که میتواند با کلیک کردن روی تبلیغات در پسزمینه بدون رضایت کاربر، کلاهبرداری انجام دهد. این امر با بارگیری کد HTML توسط کتابخانه و تزریق آن به یک WebView پنهان و سفارشی شده، با استفاده از آن برای بازدید از چندین URL برای ایجاد درآمد تبلیغاتی به دست میآید – همه بدون اینکه کاربر متوجه شود چه اتفاقی میافتد.