DU Antivirus Security шпигував за користувачами

Google видалила, а потім знову повернула в магазин Google Play один з найпопулярніших мобільних антивірусів.

Компанії довелося видалити додаток DU Antivirus Security від DU Group. Додаток потай від користувачів збирав дані з смартфонів. Антивірус був завантажений і встановлений від 10 млн до 50 млн разів.

Як повідомили експерти Check Point, коли користувач вперше запускав DU Antivirus Security, додаток записували унікальні ідентифікатори пристрою, список контактів, журнал дзвінків і геолокаційні дані (якщо можливо). Потім в зашифрованому вигляді дані передавалися на віддалений сервер з IP-адресою 47.88.174.218.

Антивірус

Спочатку дослідники вирішили, що сервер контролюється операторами шкідливого ПЗ. Проте розміщені на сервері домени зареєстровані на співробітника Baidu.

Зібрана антивірусом інформація потім використовувалася іншим додатком під назвою Caller ID & Call Block – DU Caller. Додаток надає користувачам дані про вхідні дзвінки.

21 серпня поточного року представники Check Point повідомили Google про неприйнятну активність додатку. А 24 серпня DU Antivirus Security був видалений з Google Play. Виробник видалив з програми частину коду, яка відповідала за збір даних. А вже через кілька днів антивірус знову з’явився в магазині.

За словами дослідників, механізм збору інформації присутній в DU Antivirus Security v3.1.5. А можливо і в більш ранніх версіях (Check Point, не перевіряли більш ранні версії).

Експерти вирішили проаналізувати на наявність даного коду інші додатки. В цілому вони виявили його в 30 програмах, 12 з яких опубліковані в Google Play.

Як пояснили дослідники, шкідливий код був реалізований в якості зовнішньої бібліотеки. Вона відправляє зібрані дані на той же віддалений сервер. Шкідливі програми, які потай збирали дані користувачів, могли встановити від 24 млн до 89 млн осіб.