Google видалила, а потім знову повернула в магазин Google Play один з найпопулярніших мобільних антивірусів. Компанії довелося видалити додаток DU Antivirus Security від DU Group (є частиною китайського конгломерату Baidu), оскільки, за словами дослідників з Check Point, воно потай від користувачів збирало дані з їх смартфонів. Антивірус був викачаний і встановлений від 10 млн до 50 млн разів.

Як повідомили експерти Check Point, коли користувач вперше запускав DU Antivirus Security, додаток записували унікальні ідентифікатори пристрою, список контактів, журнал дзвінків і геолокаційні дані (якщо можливо). Потім в зашифрованому вигляді дані передавалися на віддалений сервер з IP-адресою 47. 88. 174. 218. Спочатку дослідники вирішили, що сервер контролюється операторами шкідливого ПО. Проте, як показало вивчення записів DNS і прилеглих піддоменів, розміщені на сервері домени зареєстровані на співробітника Baidu.

Зібрана антивірусом інформація потім використовувалася іншим додатком від DU Group під назвою Caller ID & Call Block - DU Caller, що надає користувачам дані про вхідні дзвінки. 21 серпня поточного року представники Check Point повідомили Google про неприйнятну активності антивіруса, і 24 серпня DU Antivirus Security був видалений з Google Play. Виробник видалив з програми частина коду, відповідальну за збір даних, і через кілька днів антивірус знову з'явився в магазині.

За словами дослідників, механізм збору інформації присутній в DU Antivirus Security v3.

5 і, можливо, в більш ранніх версіях (в Check Point, не пройшло перевірку більш ранні версії).

Експерти вирішили проаналізувати на наявність даного коду та інші додатки. В цілому вони виявили його в 30 програмах, 12 з яких опубліковані в Google Play. Як пояснили дослідники, розробники могли реалізувати шкідливий код в якості зовнішньої бібліотеки, що відправляє зібрані дані на той же використовуваний DU Caller віддалений сервер. Шкідливі програми, потай збирають дані користувачів, могли встановити від 24 млн до 89 млн осіб.