Google telah menghapus lebih dari 500 aplikasi Android dari pasar Google Play Store setelah ditemukan perangkat lunak periklanan yang digunakan oleh aplikasi yang bisa dimanfaatkan dan digunakan untuk memasang spyware pada handset. Menempatkan pengguna pada risiko adalah perangkat pengembangan perangkat lunak (SDK) yang disebut Igexin. Dikembangkan oleh perusahaan China untuk melakukan layanan periklanan bertarget, SDK rentan untuk digunakan oleh penyerang untuk menyelinap malware ke perangkat Android.
Igexin pertama kali ditemukan oleh perusahaan keamanan mobile Lookout, yang menemukan SDK aktif di lebih dari 500 aplikasi yang tersedia melalui pasar resmi Google. Lookout tidak mencatat aplikasi spesifik yang ditemukan menggunakan perangkat lunak periklanan yang rentan, namun firma tersebut mencatat bahwa hal itu ditemukan dalam game yang ditargetkan untuk remaja dengan sebanyak 100 juta unduhan, aplikasi cuaca dan aplikasi pengeditan foto dengan sebanyak Lima juta unduhan dan aplikasi radio internet dengan satu juta pengguna. Aplikasi yang terpengaruh lainnya termasuk kategori pendidikan, kesehatan dan kebugaran dan perjalanan.
Igexin SDK dirancang untuk iklan pengembang kepada pengguna aplikasi tertentu dan menghasilkan pendapatan bagi pembuat aplikasi. Untuk melakukannya, layanan ini juga mengumpulkan data pengguna untuk membantu menargetkan iklan berdasarkan minat dan kebiasaan browsing. Namun, itu tidak semua Igexin mampu melakukan. Tanpa sepengetahuan pembuat SDK atau aplikasi yang memanfaatkannya, server kontrol Igexin dikompromikan oleh penyerang dan digunakan untuk mengirimkan perangkat lunak jahat ke perangkat.
Setelah muatan berbahaya dikirimkan ke perangkat, penyerang dapat mengangkat informasi pengguna dari perangkat. Selain itu, penyerang dapat memasang plugin dari jarak jauh ke handset yang dikompromikan, termasuk yang dapat merekam log panggilan dan informasi yang berpotensi menimbulkan intim atau mengungkapkan aktivitas pengguna. Meskipun jauh dari yang tidak pernah terjadi untuk SDK yang terganggu untuk masuk ke Google Play Store dan membiarkan aktor ancaman berkompromi dengan ponsel pengguna, Lookout mencatat bahwa serangan menggunakan Igexin itu unik karena SDK berbahaya tersebut biasanya dipasang di aplikasi yang dibuat oleh Penyerang sendiri Dalam kasus Igexin, pengembang aplikasi dan SDK tidak mengendalikan atau terlibat dalam serangan tersebut.
Karena Igexin adalah SDK yang umum dan ditemukan di sejumlah aplikasi dan layanan yang sangat populer, sulit untuk mengatakan sejauh mana kerentanan telah dieksploitasi. Lookout mengatakan pengguna perangkat lunak antivirus mobile-nya selamat dari serangan tersebut, namun yang lain mungkin tidak begitu beruntung. "Meskipun tidak semua aplikasi ini dikonfirmasikan untuk mendownload kemampuan mata-mata yang berbahaya, Igexin bisa mengenalkan fungsionalitas itu pada kenyamanan mereka," insinyur keamanan Lookout Adam Bauer dan Christoph Hebeisen mengatakan dalam laporan mereka.
Ancaman yang ditangkap oleh Lookout hanyalah contoh terbaru dari aplikasi yang disusupi yang dihapus dari Google Play Store. Meskipun Google telah mengambil pendekatan yang lebih agresif untuk memasarkan pasar aplikasinya, raksasa pencarian masih terjebak dalam ancaman pertempuran setelah ancaman yang meleset.