60 заражених апликација на Гоогле плаy-у, са преко 100 милиона преузимања.

Голдосон, ново откривени Андроид малwаре, користи Гоогле Плаy за латерално кретање, а налази се у 60 легитимних апликација које су укупно преузете 100 милиона пута. Злонамјерни малwаре се у апликацијама нашао преко библиотеке коју су програмери несвјесно додали својим апликацијама.

Неколико популарних апликација је погођено Голдосоном, укључујући:

• Л.ПОИНТ wитх Л.ПАY – 10 милиона преузимања
• Сwипе Брицк Бреакер – 10 милиона преузимања,
• Монеy Манагер Еxпенсе & Будгет – 10 милиона преузимања ,
• ГОМ Плаyер – 5 милиона преузимања,
• ЛИВЕ Сцоре, Реал-Тиме Сцоре – 5 милиона преузимања,
• Пикицаст – 5 милиона преузимања,
• Цомпасс 9: Смарт Цомпасс – 1 милион преузимања,
• ГОМ Аудио - Мусиц, Сyнц лyрицс – 1 милион преузимања,
• ЛОТТЕ WОРЛД Магицпасс – 1 милион преузимања,
• Боунце Брицк Бреакер – 1 милион преузимања,
• Инфините Слице – 1 милион преузимања,
• СомНоте - ноте апликација – 1 милион преузимања,
• Кореа Субwаy Инфо: Метроид – 1 милион преузимања,

Према тиму истраживача из МцАфее-а, Голдосон може прикупљати податке о инсталираним апликацијама, повезаним WиФи и Блуетоотх уређајима и ГПС локацијама корисника. Додатно, врши превару кликом на огласе у позадини без корисниковог пристанка.

Када корисник покрене апликацију која садржи Голдосон, библиотека региструје уређај и добија своју конфигурацију са удаљеног сервера чији је домен сакривен. 

Конфигурација садржи параметре који одређују функције Голдосона за крађу података и кликање на огласе које треба извршавати на зараженом уређају и њихову учесталост. 

Функција прикупљања података обично се активира свака два дана и шаље на Ц2 сервер листу инсталираних апликација, историју географске локације, МАЦ адресе уређаја повезаних преко Блуетоотх и WиФи-а и још много тога. Обим прикупљања података зависи од дозвола које су одобрене зараженој апликацији приликом инсталације и верзије Андроида. Иако Андроид 11 и новије верзије пружају бољу заштиту против произвољног прикупљања података, МцАфее је утврдио да чак и у недавним верзијама оперативног система Голдосон има довољно дозвола за прикупљање осјетљивих података у 10% заражених апликација.

Функција кликања на огласе се извршава учитавањем ХТМЛ кода и убацивањем у прилагођени, скривени WебВиеw, а затим се користи за посјећивање више УРЛ-ова ради генерисања прихода од огласа. Жртва не примјећује ниједан знак ове активности на свом уређају.

Многе погођене апликације су очишћене од стране њихових програмера који су уклонили злонамјерну библиотеку, док су апликације које нису реаговале на вријеме уклоњене са Гоогле Плаy продавнице због непоштовања правила продавнице.

Корисници који су инсталирали погођене апликације са Гоогле Плаy-а могу смањити ризик примјеном најновијег доступног ажурирања.

Уобичајени знакови заражености адвером и малwаре-ом укључују прегријавање уређаја, брзо пражњење батерије и неуобичајену високу потрошњу интернет саобраћаја чак и када уређај није у употреби.