Google ने अपने प्ले स्टोर से नौ ऐप हटा दिए हैं, जब शोधकर्ताओं ने दिखाया कि उन्होंने चुपके से यूजर्स के फेसबुक लॉग-इन क्रेडेंशियल चुरा लिए हैं। ऐप्स उन नामों के तहत छिपे हुए थे जो रोजमर्रा के उपयोगी टूल और ऐप्स की तरह लगते थे। इनमें रबिश क्लीनर (Rubbish Cleaner)और Horoscope Daily शामिल हैं। एक रिपोर्ट के मुताबिक इन मैलिशिअस ऐप्स के Google Play स्टोर पर लगभग 5.9 मिलियन संयुक्त डाउनलोड थे जबकि अकेले पीआईपी फोटो (PIP Photo) के साथ 5.8 मिलियन डाउनलोड थे। इनमें मैलवेयर के पांच अलग-अलग प्रकार थे। Google ने इससे पहले निजता के उल्लंघन को लेकर बच्चों के लिए बने तीन ऐप्स को हटा दिया था।
डॉ. वेब (Dr. Web), एक एंटीवायरस सर्विस, की
रिपोर्ट कहती है कि उनके मैलवेयर विश्लेषकों ने नौ संदेहास्पद ऐप्स की खोज की। जिनमें Processing Photo, App Lock Keep, Rubbish Cleaner, Horoscope Daily, Horoscope Pi, App Lock Manager, Lockit Master, Inwell Fitness, and PIP Photo ऐप्स थीं। इन ऐप्स ने कथित तौर पर ट्रोजन मैलवेयर के रूप में काम किया और यूजर्स को अपने सोशल मीडिया अकाउंट्स के माध्यम से लॉग इन करके विज्ञापनों को डिसेबल करने का विकल्प प्रदान करने के बाद यूजर्स के फेसबुक लॉग-इन क्रेडेंशियल्स को चुरा लिया। डॉ. वेब की रिपोर्ट को
Ars Technica ने देखा।
इन ऐप्स ने Facebook के लॉग-इन पेज की हूबहू नकल दिखाकर यूजर्स को बरगलाया। इसके बजाय ऐप्स ने एक जावास्क्रिप्ट कमांड लोड किया जिसने उनके लॉग-इन क्रेडेंशियल्स को चुरा लिया। ऐप्स ने स्पष्ट रूप से ऑथराइजेशन सेशन से ब्राउज़र कुकीज़ भी चुरा लीं। सभी मैलवेयर वेरिएंट थे और उन सभी ने कथित तौर पर यूजर्स का डेटा चोरी करने के लिए एक समान जावास्क्रिप्ट कोड का उपयोग किया था। रिपोर्ट में यह भी कहा गया है कि मैलवेयर वेरिएंट में से तीन देशी एंड्रॉइड ऐप थे, और दो Google के फ़्लटर एसडीके (Flutter SDK) का उपयोग करके बनाए गए थे।
डॉ. वेब द्वारा पहचाने गए मैलवेयर वेरिएंट हैं-
Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.15, Android.PWS.Facebook.17, and Android.PWS.Facebook.18.
Google के एक प्रवक्ता ने Ars Technica को बताया कि उन्होंने गूगल प्ले स्टोर (Google Play store) से सभी नौ ऐप के ऐप डेवलेपर्स पर भी प्रतिबंध लगा दिया है, जो इन डेवलेपर अकाउंट्स को बाज़ार में कोई भी नया ऐप प्रकाशित करने से रोक देगा। यह Google का एक सकारात्मक कदम है, मगर एक अलग नाम के तहत एक नया डेवलेपर खाता 25 डॉलर (लगभग 1,900 रुपये) के मामूली शुल्क के साथ बनाया जा सकता है।
यूजर्स को सलाह दी जाती है कि वे किसी अज्ञात डेवलपर से कोई ऐप डाउनलोड न करें, भले ही ऐप के कितने भी डाउनलोड हों। इस मामले में, PIP Photo को अधिकतम 5.8 मिलियन डाउनलोड मिले, इसके बाद 500,000 डाउनलोड पर Processing Photo था। जिस किसी यूजर ने भी इन ऐप्स को डाउनलोड किया है, उसे संदिग्ध गतिविधियों के लिए अपने डिवाइस और फेसबुक अकाउंट की अच्छी तरह जांच करनी चाहिए।