في الوقت الحالي اكتشف Stefanko أن تطبيق "Simple Call Recorder" الذي نشرته FreshApps Group كان بالفعل أكثر من 5000 عملية تثبيت وكان متاحًا على Google Play منذ 30 تشرين الثاني 2017.
يحاول التطبيق الضار اختراق الجهاز الذي تم تثبيته عليه عن طريق فك تشفير ملف ثنائي يقوم بتحميله من أصوله ، ثم تحميله ديناميكيًا ، ثم يطلب من المستخدم تثبيت مُحدِث فلاش مزيف من http: // adsmserver [.] club / up / update.apk (تتم الآن إزالة المثبّت وإعادة التوجيه إلى AdMob في Google.)
نظرًا لعدم توفر الحمولة الضارة للبرامج الضارة ، فمن المستحيل معرفة ما استخدمه مطوّر برامج Android من FreshApps ، ولكن نظرًا للطريقة التي تم تصميمه لتنزيلها على الأجهزة المستهدفة ، من الواضح تمامًا أنها أداة ضارة.
تم استخدام تطبيق تسجيل المكالمات الضارة لمدة عام تقريبًا
"إذا اعتبرنا أن التطبيق يتضمن سلسلة flashplayer_update.apk الداخل، استمرت بسيط تسجيل المكالمات على موقع Google Play تقريبا لمدة سنة، الذي هو في الحقيقة وقت طويل قبل أن يتم إزالتها"، وقال الباحث. "على الرغم من عدم تمكني من استرداد التطبيق الذي تم تنزيله ، فلا تزال هذه الوظيفة - بناءً على سياسة Google Play محظورة صراحةً."
ليست هذه هي المرة الأولى التي وجد فيها ستيفانكو تطبيقًا يحتوي على تروجان في متجر Google Play . وفي سبتمبر ، اكتشف أن طروادة مصرفية تم تصويرها أيضًا كمكالمة هاتفية مشروعة تسجل تطبيق Android الذي كان يسرق معلومات مصرفية من أجهزة Android التي تم اختراقها.
علاوة على ذلك ، تم تثبيت جهاز طروادة المصرفي الذي تم رصده قبل شهرين على أكثر من 10 آلاف جهاز Android ، وكان قادرًا على سرقة بيانات الاعتماد المصرفية باستخدام خدمات إمكانية الوصول في Android حتى عندما تم تمكين المصادقة الثنائية من SMS.
بالإضافة إلى ذلك ، كشف ستيفانكو أيضًا عن 29 تطبيقًا آخر من أجهزة Android المصابة من آب وحتى أوائل شهر أكتوبر 2018 في متجر Android الرسمي ، والتي كانت تنتحل صفة تطبيقات مصرفية مشروعة وتستخدم نماذج التصيّد لجمع بيانات الاعتماد المصرفية.