Onderzoekers hebben in de Google Play Store spyware ontdekte die wifi-wachtwoorden, sms-berichten, chatgesprekken, adresboek, gps-locatie en andere data steelt, alsmede slachtoffers bespioneert door telefoongesprekken op te nemen en de omgeving via de microfoon af te luisteren.

De spyware was gericht tegen Italiaans sprekende Androidgebruikers, aldus Security Without Borders, een organisatie die journalisten, activisten en mensenrechtenbeschermers met cybersecurity helpt. De spyware-apps, waarvan bijna 25 exemplaren naar de Google Play Store waren geüpload, deden zich in de meeste gevallen voor als apps van Italiaanse telecomproviders. Slachtoffers zouden via sms-berichten naar de kwaadaardige apps zijn gelokt.

Nadat slachtoffers de app hadden geïnstalleerd werd via de bekende Dirty COW-aanval geprobeerd om het toestel te jailbreaken, zodat de aanvallers volledige controle kregen. Naast het stelen van data werd er ook een shell aan een lokale poort gekoppeld. De spyware maakt hier gebruik van voor het uitvoeren van verschillende commando's, zoals het in- of uitschakelen van bepaalde diensten.

Het zorgt er echter ook voor dat iedereen op een lokaal netwerk toegang tot het besmette toestel kan krijgen. Wanneer een slachtoffer van een openbaar wifi-netwerk gebruik zou maken, zou iedereen op het netwerk zonder authenticatie of verificatie een terminal op het toestel kunnen krijgen. Alleen het verbinding maken met de betreffende poort zou voldoende zijn.

Onderzoekers van Security Without Borders infecteerden een testtoestel met de spyware en zagen hoe het wifi-wachtwoord naar een command & control-server werd verstuurd, alsmede een overzicht van alle geïnstalleerde apps. Na door de onderzoekers te zijn ingelicht heeft Google de spyware-apps uit de Play Store verwijderd. De apps waren op dat moment door honderden mensen gedownload.