El equipo de investigación móvil de McAfee descubrió una biblioteca de software que llamaron Goldoson. Goldoson compila listas de aplicaciones que se han cargado, así como un historial de información sobre dispositivos Wi-Fi y Bluetooth, que incluye información sobre coordenadas GPS cercanas. Además de esto, la biblioteca está equipada con la capacidad de cometer fraude publicitario al hacer clic en anuncios publicitarios en segundo plano sin el conocimiento o consentimiento del usuario. El equipo de investigación descubrió más de 60 programas que incluía esta biblioteca dañina de terceros, y ha habido más de 100 millones de descargas verificadas de estas aplicaciones en la tienda ONE y los mercados de descarga de aplicaciones de Google Play en Corea del Sur. Incluso si la biblioteca maliciosa fue desarrollada por un tercero y no por los autores originales de la aplicación, los instaladores de los programas aún están en peligro. Esta configuración determina las operaciones que el malware realizará en el dispositivo, como las que recopilan datos y hacen clic en los anuncios cuando se muestran. Cada dos días, la función de recopilación de datos se activa y la información recopilada, junto con las direcciones MAC de cualquier dispositivo Bluetooth o Wi-Fi que esté conectado actualmente, se envía a un servidor C2.
La capacidad de hacer clic en anuncios se activa cargando e inyectando código HTML en un WebView secreto que ha sido modificado. Esta función genera dinero al generar varios visitantes a diferentes URL.
El software malicioso puede robar datos no solo del propio dispositivo, sino también de otros dispositivos Bluetooth y Wi-Fi que estén vinculados a él. Además de esto, tiene la capacidad de monitorear la posición de los usuarios y cometer fraude publicitario al hacer clic en los anuncios en segundo plano sin que el usuario se dé cuenta. Los permisos que se otorgan a una aplicación infectada cuando se instala son los que se utilizan para la recopilación de datos.
Los investigadores de McAfee afirmaron en una publicación de blog que, si bien las versiones de Android 11 y superiores normalmente se consideran seguras contra el robo de datos debido a sus medidas de seguridad más sólidas, Goldoson podría capturar datos confidenciales de los teléfonos inteligentes que ejecutan estas versiones en el 10% de las aplicaciones infectadas. Esto es a pesar del hecho de que las versiones de Android 11 y superiores generalmente se consideran seguras contra el robo de datos.
Se ha dicho que Google ha informado a los desarrolladores de aplicaciones que sus aplicaciones violan las regulaciones de Google Play y que se deben realizar los cambios necesarios para que se ajusten. Si bien los desarrolladores oficiales de otras aplicaciones cambiaron sus versiones, varias aplicaciones tuvieron que eliminarse de Google Play. Se recomienda encarecidamente a los usuarios que actualicen las versiones de sus aplicaciones a las más recientes disponibles para librar a sus dispositivos del peligro descubierto.
Es importante tener en cuenta que las versiones maliciosas de estas aplicaciones seguirán siendo accesibles en las tiendas de aplicaciones de Android de terceros incluso después de que una actualización haga posible que estas aplicaciones se descarguen a través de Play Store sin riesgo. Por lo tanto, debe eliminar el programa de su dispositivo y luego reinstalarlo desde Play Store.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.