Beveiligingsonderzoekers hebben honderden Android-apps aangetroffen die door ingebouwde advertentiesoftware gebruikt konden worden om smartphone-eigenaren te bespioneren.

De apps stonden in Google Play en hadden volgens de onderzoekers van Lookout in totaal meer dan 100 miljoen downloads. Inmiddels zijn de getroffen apps verwijderd uit de appwinkel of vervangen door versies zonder het advertentiepakket Igexin.

Dat pakket kon op afstand worden ingezet om privégegevens te verzamelen, stellen de onderzoekers. Igexin kon op afstand ervoor zorgen dat plugins werden gedownload en uitgevoerd. De ontwikkelaars van de apps waar het Igexin-pakket in verwerkt zat, hadden daar geen controle over.

De spionagefunctie lijkt niet bij alle apps met Igexin-advertenties te zijn ingezet. Vermoedelijk hadden app-ontwikkelaars zelf ook geen idee dat het advertentiepakket kon worden gebruikt om gebruikers af te luisteren.

Het is niet bekend welke apps precies werden getroffen. Volgens Lookout gaat het in ieder geval om een game met meer dan 50 miljoen downloads, naast verschillende weer-, foto- en gezondheidsapps.