Onderzoekers hebben in de Google Play Store achttien malafide lening-apps ontdekt die meer dan twaalf miljoen keer waren gedownload voordat ze door Google uit de store werden verwijderd. De apps doen zich voor als apps voor persoonlijke leningen en beloven snelle en eenvoudige toegang tot financiële middelen. In werkelijkheid gaat het om malafide apps die gebruikers door middel van leningen tegen hoge rentes proberen op te lichten, alsmede allerlei persoonlijke en financiële informatie verzamelen om ze af te persen.

Zodra gebruikers de app hebben geïnstalleerd moeten ze de voorwaarden accepteren en allerlei permissies toestaan waarmee de app toegang tot gevoelige gegevens op de telefoon krijgt. Om een lening te krijgen moeten gebruikers allerlei persoonlijke informatie verstrekken, waaronder adresgegevens, contactgegevens, rekeningafschriften, salarisstrookjes, foto's van de identiteitskaart en een selfie.

Verder verzamelt de app informatie over aanwezige accounts, gesprekslogs, kalendervermeldingen, apparaatinformatie, geïnstalleerde apps, lokale wifi-gegevens en informatie over bestanden op de telefoon, waaronder Exif-metadata. Verder heeft de app ook toegang tot contactlijsten, locatiegegevens en sms-berichten. Nadat de persoonlijke gegevens zijn verzameld worden gebruikers door de 'enforcers' van de apps lastiggevallen om te betalen, ook als er geen lening is aangevraagd of toegekend.

Volgens antivirusbedrijf ESET, dat de malafide apps ontdekte en aan Google rapporteerde, maken de apps met name misbruik van mensen in een kwetsbare positie die dringend geld nodig hebben of beperkte toegang tot algemene financiële instellingen hebben. Na te zijn ingelicht heeft Google zeventien van de achttien apps verwijderd. Ondanks herhaaldelijke verwijderpogingen blijven de apps echter in de Play Store opduiken, aldus de onderzoekers.