Приложения, о которых идет речь, были удалены из магазина Google Play после предупреждения компании Lookout, специализирующейся на мобильной кибербезопасности. Также ей мы обязаны обнаружением шпионского ПО Pegasus, использующего уязвимость Trident в iOS.
Зараженные приложения предназначались для путешественников, которые искали информацию о посольствах за рубежом, а также российские и европейские новости. Один назывался «Посольство», а другой - «Новости Европы».
По данным Lookout, приложения содержали шпионское ПО под названием Overseer, способное обмениваться данными через HTTPS с сервером управления и контроля, используя Parse Server (Facebook) и размещенное на Amazon Web Services.
Overseer может собирать и удалять большое количество личной информации (адрес электронной почты, номер телефона, данные о местоположении, данные о технических устройствах…) и может определять, было ли устройство рутировано.
Хотя анализ кода показывает, что Overseer может выполнять вредоносные действия, Lookout их не обнаружил. Это могло сработать, чтобы обмануть системы обнаружения Google перед выпуском в Play Store, а также полагаться на HTTPS-соединение с доверенным сервером Parse.
В своем последнем ежегодном отчете о безопасности Android компания Google указывает, что в 2015 году менее 0,15% устройств Android были затронуты установкой потенциально вредоносного приложения при загрузке из Google Play Store.