Популярный антивирус для Android тайно шпионил за пользователями
Google удалила, а затем снова вернула в магазин Google Play один из самых популярных мобильных антивирусов. Компании пришлось удалить приложение DU Antivirus Security от DU Group (является частью китайского конгломерата Baidu), поскольку, по словам исследователей из Check Point, оно втайне от пользователей собирало данные с их смартфонов. Антивирус был скачан и установлен от 10 млн до 50 млн раз.
Как сообщили эксперты Check Point, когда пользователь впервые запускал DU Antivirus Security, приложение записывало уникальные идентификаторы устройства, список контактов, журнал звонков и геолокационные данные (если возможно). Затем в зашифрованном виде данные передавались на удаленный сервер с IP-адресом 47.88.174.218. Поначалу исследователи решили, что сервер контролируется операторами вредоносного ПО. Тем не менее, как показало изучение записей DNS и примыкающих поддоменов, размещенные на сервере домены зарегистрированы на сотрудника Baidu.
Собранная антивирусом информация затем использовалась другим приложением от DU Group под названием Caller ID & Call Block - DU Caller, предоставляющим пользователям данные о входящих звонках. 21 августа текущего года представители Check Point уведомили Google о неприемлемой активности антивируса, и 24 августа DU Antivirus Security был удален из Google Play. Производитель удалил из приложения часть кода, ответственную за сбор данных, и спустя несколько дней антивирус снова появился в магазине.
По словам исследователей, механизм сбора информации присутствует в DU Antivirus Security v3.1.5 и, возможно, в более ранних версиях (в Check Point не тестировали более ранние версии).
Эксперты решили проанализировать на наличие данного кода и другие приложения. В общей сложности они обнаружили его в 30 программах, 12 из которых опубликованы в Google Play. Как пояснили исследователи, разработчики могли реализовать вредоносный код в качестве внешней библиотеки, отправляющей собранные данные на тот же используемый DU Caller удаленный сервер. Вредоносные приложения, втайне собирающие данные пользователей, могли установить от 24 млн до 89 млн человек.