Onderzoeker hebben in de Google Play Store 24 malafide apps ontdekt die sms-berichten onderscheppen en slachtoffers op dure sms-diensten abonneren. De apps waren bij elkaar meer dan 427.000 keer gedownload voordat ze door Google uit de Play Store werden verwijderd.

Het ging onder andere om de apps "Mini Camera" en "Certain Wallpaper", die elk meer dan 100.000 downloads hadden. De malware in de apps richt zich specifiek op 37 landen, waaronder Nederland. Daarnaast beschikken de apps over een extra controle zodat ze niet in Canada of de Verenigde Staten worden uitgevoerd. Eenmaal actief downloadt de malware een tweede onderdeel dat stilletjes met advertentiesites communiceert en de sms-berichten, adresboek en apparaatgegevens van het slachtoffer steelt.

De interactie met de advertentiesites bestaat ook uit het simuleren van clicks en invoeren van autorisatiecodes voor "premium service" abonnementen. In Denemarken kan de malware slachtoffers op een sms-dienst abonneren die 6,70 euro per week kost. De malware voert op de webpagina van de sms-dienst de benodigde gegevens voor een abonnement in. Vervolgens wacht de malware op het sms-bericht met de bevestigingscode, die wordt onderschept en op de pagina ingevoerd, waarmee het abonnement is bevestigd.

De malware werd door onderzoekers van securitybedrijf CSIS ontdekt. Tijdens het onderzoek naar de besmette apps had Google die al verwijderd zonder te zijn ingelicht door CSIS. De onderzoekers adviseren Androidgebruikers om bij de installatie van apps alert te zijn op de gevraagde permissies.