Een aantal populaire Android-apps stelen e-mailadressen, contactgegevens en telefoonnummers en sturen die, samen met locatiegegevens, door naar adverteerders. Het gaat onder andere om Paradise Island, Love Calculator, Samsung TV Media Player en Hexa Blast, zo waarschuwt het Roemeense anti-virusbedrijf BitDefender. De apps zijn door miljoenen Android-gebruikers geïnstalleerd.

Zo blijkt Paradise Island het telefoonnummer en e-mailadres van de gebruiker naar AirPush.com te sturen, terwijl het IMEI-nummer naar Aarki.net gaat. De huidige locatie wordt via Jumptap verstuurd. Alle drie mobiele advertentieplatformen waarmee adverteerders en ontwikkelaars meer controle over advertentiecampagnes krijgen.

"Met meer dan 10 miljoen installaties en meer dan 63.000 beoordelingen, is het veilig om te stellen dat er een grote gebruikersdatabase wordt opgezet", zegt onderzoeker Liviu Arsene.

Encryptie
Een ander spel dat telefoonnummer, Unique Device Identifier en locatie doorstuurt is Love Calculator. Daarnaast plaatst de app ook spam iconen op het startscherm van de telefoon. Ook vraagt de app om "Coarse (Network Based Location)", "Fine (GPS) Location" en "Access Extra Location Provider Commands". Allemaal permissies waarvan Google waarschuwt dat ze door kwaadaardige apps gebruikt kunnen worden.

Ook de Samsung TV Media Player-app heeft de zaakjes niet op orde. Om de app te gebruiken is een ZappoTV-account nodig. Gebruikersnaam en wachtwoord worden echter onversleuteld naar de website gestuurd.

Volgens Arsene loopt daardoor het kijkgedrag van gebruikers risico. De onderzoeker adviseert Android-gebruikers dan ook om eerst de permissies te controleren voordat ze een app installeren.