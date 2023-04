Dans le détail de son fonctionnement, Goldoson débute ses activités lorsque l'utilisateur lance une application préalablement infectée. Sa bibliothèque enregistre l'appareil et reçoit sa configuration depuis un serveur distant dont le domaine est masqué, explique Bleeping Computer. Les informations permettant de mettre en place les procédures de vol de données et de clics publicitaires sont alors téléchargées. Le pirate aux commandes du malware peut quant à lui en profiter pour paramétrer la fréquence et les conditions de déclenchement de ces actions malveillantes.

En l'occurrence, la collecte de données se ferait le plus souvent tous les deux jours, avec à la clé un envoi de ces informations vers le serveur distant. Cette fréquence de collecte dépend du niveau d'autorisation accordé aux applications infectées au moment de leur installation.

On apprend par ailleurs que si Android 11 et les versions ultérieures sont mieux protégées contre Goldoson, ce dernier parvient quand même à obtenir suffisamment d'autorisations pour collecter des données sensibles avec 10 % des applications sur lesquelles il a réussi à se frayer un chemin. L'utilisateur, lui, n'a aucun moyen de savoir que son appareil est concerné.