В магазине приложений Google Play годами были доступны для скачивания сервисы, шпионящие за владельцами устройств на Android. Результаты совместного расследования специалистов Security Without Borders и Motherboard опубликованы в блоге организации.
Специалисты обнаружили активность шпионского ПО под кодовым названием Exodus с 2016 года и вплоть до начала 2019 года. ПО маскировалось под приложения от мобильных операторов или сервисные приложения для улучшения работы устройств. Как сообщает Motherboard, более 20 приложений появлялись в Google Play в течение двух лет.
При запуске пользователь давал приложению разрешение на доступ к мобильному номеру и IMEI (International Mobile Equipment Identity, уникальный номер для идентификации мобильных телефонов, у каждого устройства свой IMEI). После этого ПО могло беспрепятственно передавать личные данные пользователя с устройства на сервера злоумышленников.
Согласно статистике, приложения были скачаны не менее 100 раз каждое, одно из них — более 350 раз. По данным Security Without Borders, приложения были на итальянском языке.
Разработчиком, предположительно, выступила итальянская eSurv, известная только работой в сфере систем видеонаблюдения. Один из сотрудников компании, с которым Motherboard удалось связаться, отказался от комментариев, указав, что это «конфиденциальная информация».
Журналисты также обнаружили возможную связь разработчика с властями Италии. На официальном сайте опубликован документ о том, что eSurv выиграла тендер полиции Италии на разработку «пассивной и активной системы перехвата».
После того, как организация Security Without Borders связалась с Google, приложения были удалены из интернет-магазина. По данным компании, пострадали менее одной тысячи пользователей.