Certaines de ces applications ont été téléchargées plus de 50 millions de fois avant que Google ne se voit contraint de les retirer.
Un malware dans un SDK publicitaire : Igexin
La raison pour laquelle le spyware identifié par Lookout s'est propagé très facilement est qu'il n'était pas une fausse application ou une application infectée : il se trouvait dans un SDK (Software Development Kit) publicitaire appelé Igexin. Ainsi, il pouvait passer inaperçu et contourner les contrôles mis en place par Google pour sécuriser les applications disponibles sur le Google Play Store.La propagation est telle que Lookout estime à plus de 100 millions le nombre de téléchargements d'applications infectées. Une en particulier, un jeu qui n'a pas été nommé par la firme, aurait cumulé entre 50 et 100 millions de téléchargements. Mais le SDK publicitaire se trouvait aussi bien dans des jeux que dans des applications éducationnelles, des applis rajoutant des emojis, des applis d'édition de photos ou encore des applis pour la météo.
Une fois activé, le malware recueillait tout type d'informations
Puisque toutes les version du SDK Igexin ne sont pas concernées par la présence du malware, le travail était plus compliqué pour les experts de Lookout.Le SDK Igexin infecté servait en fait de backdoor : une fois le téléphone infecté, les malwares collectaient alors des informations personnelles et des données. Les journaux d'appels, en particulier, semblent avoir été transférés à des serveurs tiers.
Alerté, Google a supprimé de son Play Store les applications infectées qui ont mis à jour le SDK Igexin pour une version propre et ont pu à nouveau être disponibles au téléchargement.