Специалисты Check Point обнаружили, что один из популярнейших антивирусов в Google Play, DU Antivirus Security, тайно собирал информацию о своих пользователях. Согласно официальной статистике, приложение, созданное DU Group, частью конгломерата Baidu, было установлено 10-50 млн раз.
В своем отчете исследователи рассказали, что обнаружили подозрительную активность приложения версии 3.1.5. Дело в том, что при первом запуске на новом устройстве DU Antivirus Security собирал различные данные, в том числе, уникальные ID, список контактов, журнал вывозов, информация о местонахождении устройства (если доступна). Собранная информация передавалась на удаленный сервер, расположенный по адресу 47.88.174.218. Сначала аналитики решили, что этот сервер принадлежит неким злоумышленникам, но расследование показало, что он принадлежит сотруднику Baidu.
По данным специалистов, собранные антивирусом данные затем использовались в работе другого приложения DU Group, которое называется Caller ID & Call Block – DU Caller. Как можно понять по названию, программа предоставляет пользователям информацию о входящих вызовах.
Еще 21 августа 2017 года исследователи сообщили о своем открытии инженерам Google, после чего антивирус был удален из официального каталога приложений. Позже, 28 августа 2017 года, в Google Play была загружена новая версия DU Antivirus Security, из кода которой были удалены шпионские функции. Пользователям настоятельно рекомендуется обновиться.
Аналитики Check Point сообщают, что проверили и другие приложения на наличие данного вредоносного кода. Оказалось, что шпионская функциональность присутствует более чем в 30 других программах, 12 из которых представлены в Google Play. Согласно официальной статистике Google, суммарно эти приложения были загружены 24-89 млн раз. Они также снабжали данными вышеупомянутый DU Caller.