Исследователи из компании Lookout обнаружили, что в около 500 приложений с большим количеством загрузок (до 100 млн в Google Play) установлено шпионское ПО. Специалисты уверяют, что разработчики этих зараженных игр и программ не виноваты. Все дело в зараженном рекламном инструменте, благодаря которому злоумышленники собирали информацию.
Речь идет о модуле Igexin, упрощающем подключение к рекламным сетям и позволяющем анализировать интересы пользователей для выдачи более качественной рекламы. Когда приложения, содержащие этот инструмент, запускались на устройствах, то злоумышленники могли удаленно через Igexin загружать модули для шпионажа за пользователем. К счастью, с помощью такого зловреда нельзя украсть пароли, поэтому хакеры воровали в основном данные о вызовах, показатели GPS и списки установленных приложений. Функционал этого рекламного модуля зависит от версии операционной системы.
Исследователи обнаружили Igexin в основном в играх для подростков (одна из которых загружена 50-100 млн раз из Google Play), погодных приложениях (1-5 млн загрузок), интернет-радио (0,5-1 млн загрузок) и графических редакторах (1-5 млн загрузок).
Специалисты из Lookout не опубликовали список зараженных приложений, поскольку их разработчики, вероятнее всего, попросту не знали об уязвимости Igexin. Вместо этого исследователи отправили отчет своей работы в Google, после чего «корпорация добра» пресекла возможность подгружать зловредные плагины через этот бэкдор.