32 kwaadaardige apps op Google Play hebben tussen de 2 en 9 miljoen Android-smartphones en tablets geïnfecteerd, zo laat een Amerikaans beveiligingsbedrijf weten. De 'BadNews' app doet zich volgens analisten van Lookout voor als een onschuldig, maar agressief advertentienetwerk. De mogelijkheden gaan echter veel verder dan die van doorsnee adware.

De apps kunnen na de installatie ook valse nieuwsberichten tonen, gebruikers vragen om applicaties te installeren en telefoonnummer en apparaat-id naar een server sturen. BadNews zou de valse nieuwsberichten gebruiken om andere malware en dubieuze apps te verspreiden.

Zo werd tijdens het onderzoek ontdekt dat BadNews op besmette toestellen de AlphaSMS-malware installeert. Deze malware laat telefoons sms-berichten naar dure nummers te sturen.

Evolutie
Volgens Lookout is BadNews een belangrijke ontwikkeling in de evolutie van mobiele malware, omdat het zich massaal heeft weten te verspreiden. Het doet dit door het kwaadaardige gedrag uit te stellen en zo de analysesoftware te misleiden. Het beveiligingsbedrijf noemt hierbij niet met name Google, maar de zoekgigant heeft de 32 apps inmiddels verwijderd.

Ook zijn de vier gebruikte ontwikkelaar-accounts waarmee de malware op de officiële Android-marktplaats werd geplaatst verwijderd. Het is echter onduidelijk of de apps bewust zijn ontwikkeld om BadNews te verspreiden of dat de ontwikkelaars dachten een advertentienetwerk aan hun app toe te voegen, terwijl het in werkelijkheid kwaadaardige code betrof.

De aanval zou vooral op Russische gebruikers zijn gericht, aangezien de helft van de besmette apps in het Russisch is. Daarnaast is de AlphaSMS-malware ontwikkeld om in Rusland en nabijgelegen landen sms-fraude te plegen.