Οι κακόβουλες εφαρμογές έφεραν τις ονομασίες “Embassy”, “European News”, “Russian News,” ενώ η τέταρτη εφαρμογή που εντοπίστηκε ήταν στα βοσνιακά.
Σύμφωνα με τους ερευνητές και οι τέσσερις εφαρμογές ήταν μολυσμένες με το Overseer malware, το οποίο στόχευε ταξιδιώτες και κυρίως στελέχη επιχειρήσεων που συμβουλεύονταν την εφαρμογή “Embassy” κατά τη διάρκεια των επιχειρηματικών τους ταξιδιών.
Οι κακόβουλες εφαρμογές εντοπίστηκαν στα τέλη Ιουλίου από εμπειρογνώμονες ασφαλείας της ομάδας Security Research & Response Team, της LookOut. Οι εφαρμογές είχαν αναπτυχθεί με τέτοιο τρόπο ώστε να συγκεντρώνουν πληροφορίες από τις Android συσκευές των θυμάτων, συμπεριλαμβανομένων των επαφών τους, των e-mail, των δεδομένων GPS και των δεδομένων των συσκευών τους (όπως το μοντέλο, το αναγνωριστικό συσκευής, εάν η συσκευή έχει γίνει root ή όχι).
Όπως αναφέρουν οι ερευνητές, οι κακόβουλες εφαρμογές είχαν γίνει δεκάδες χιλιάδες φορές download μέσω του Google Play.
«Μέσα από τη στενή συνεργασία με έναν εταιρικό πελάτη, η Lookout κατάφερε να αναγνωρίσει το Overseer, ένα επικίνδυνο spyware που εντοπίστηκε σε τέσσερις εφαρμογές του Google Play. Μία από τις εφαρμογές ήταν σχεδιασμένη ώστε να βοηθά τους ταξιδιώτες να αναζητούν πρεσβείες στο εξωτερικό. Το κακόβουλο λογισμικό είχε επίσης εγχυθεί ως trojan σε ευρωπαϊκές εφαρμογές ειδήσεων για Android», αναφέρει σε σχετικό blog post η Lookout.
«Μέσω της χρήσης υπηρεσιών του Facebook και της Amazon, το spyware επικοινωνεί με ένα εξυπηρετητή C & C που φιλοξενείται στις Ηνωμένες Πολιτείες σε μια δημοφιλή υπηρεσία cloud. Αυτό του επιτρέπει να παραμείνει κρυφό, διότι δεν κάνει την κίνηση του δικτύου του Overseer να ξεχωρίζει και η επιτυχής ανίχνευσή του θα μπορούσε ενδεχομένως να αποτελέσει πρόκληση για τις παραδοσιακές networked-based IDS λύσεις», συνεχίζει η εταιρεία.