Um conjunto de aplicativos para Android sem conexão aparente entre si estava coletando dados em excesso de usuários — sem que as vítimas desconfiassem ou pudessem conferir essa prática suspeita.
De acordo com um estudo do AppCensus, todos os aplicativos tinham uma coisa em comum: a utilização de um kit de desenvolvimento de software (SDK) fornecido por uma obscura companhia chamada Measurement Systems, supostamente sediada no Panamá.
Em troca da utilização do SDK no desenvolvimento dos app, a empresa prometia uma taxa de monetização "sem comprometer a privacidade e a vida útil da bateria" de quem fizesse o download. Entretanto, as permissões conquistadas por essas ferramentas podiam envolver a obtenção de dados importantes.
Qual o problema?
A biblioteca Coulus Coelib, embutida nesses apps, conseguia extrair e enviar para servidores terceirizados dados como geolocalização, e-mail, telefone, endereço IP, número de rede SSID e até o endereço MAC do seu roteador.
Em casos mais graves, ele até conseguia acesso ao que estava na sua Área de Transferência (no "Copiar" ou salvo pelo atalho "Ctrl+C"), o que poderia incluir senhas, dados bancários ou outros conteúdos.
Entre os aplicativos suspeitos estão o Speed Camera Radar, o WiFi Mouse e o QR & Barcode Scanner, além de ferramentas destinadas à população muçulmana, como uma versão em MP3 do Alcorão. A lista completa de apps e o estudo sobre a vulnerabilidade explorada podem ser conferidos neste link (em inglês).
Os apps com o SDK foram denunciados e removidos da Google Play Store ainda no final de 2021, sendo que a grande maioria deles já retornou à plataforma sem o código adicional. Entretanto, aparelhos mais antigos ou sem atualizações automáticas ainda podem conter as versões suspeitas dos utilitários — que, juntos, somam mais de 45 milhões de downloads.