Популярный антивирус для Android тайно шпионил за пользователями
Антивирус был скачан и установлен от 10 млн до 50 млн раз.
Google удалила, а затем снова вернула в магазин Google Play один из самых популярных мобильных антивирусов . Компании пришлось удалить приложение DU Antivirus Security от DU Group (является частью китайского конгломерата Baidu), поскольку, по словам исследователей из Check Point, оно втайне от пользователей собирало данные с их смартфонов. Антивирус был скачан и установлен от 10 млн до 50 млн раз.
Как сообщили эксперты Check Point, когда пользователь впервые запускал DU Antivirus Security, приложение записывало уникальные идентификаторы устройства, список контактов, журнал звонков и геолокационные данные (если возможно). Затем в зашифрованном виде данные передавались на удаленный сервер с IP-адресом 47.88.174.218. Поначалу исследователи решили, что сервер контролируется операторами вредоносного ПО. Тем не менее, как показало изучение записей DNS и примыкающих поддоменов, размещенные на сервере домены зарегистрированы на сотрудника Baidu.
Собранная антивирусом информация затем использовалась другим приложением от DU Group под названием Caller ID & Call Block – DU Caller, предоставляющим пользователям данные о входящих звонках. 21 августа текущего года представители Check Point уведомили Google о неприемлемой активности антивируса, и 24 августа DU Antivirus Security был удален из Google Play. Производитель удалил из приложения часть кода, ответственную за сбор данных, и спустя несколько дней антивирус снова появился в магазине.
По словам исследователей, механизм сбора информации присутствует в DU Antivirus Security v3.1.5 и, возможно, в более ранних версиях (в Check Point не тестировали более ранние версии).
Эксперты решили проанализировать на наличие данного кода и другие приложения. В общей сложности они обнаружили его в 30 программах, 12 из которых опубликованы в Google Play. Как пояснили исследователи, разработчики могли реализовать вредоносный код в качестве внешней библиотеки, отправляющей собранные данные на тот же используемый DU Caller удаленный сервер. Вредоносные приложения, втайне собирающие данные пользователей, могли установить от 24 млн до 89 млн человек.