Google heeft 25 Android-apps die probeerden wachtwoorden en inlognamen van Facebook-accounts te stelen uit de Play Store verwijderd. Volgens ZDNet zijn de apps in totaal 2,34 miljoen keer gedownload.

De apps varieerden van wallpaperapps tot het spelletje Solitaire. Alle apps deden zich voor als legitieme apps en werkten zoals geadverteerd, maar op de achtergrond werd er malafide software gedraaid zonder dat de gebruiker dit doorhad.

Alle apps werkten op dezelfde manier. Ze konden zien wat er op de voorgrond werd gedraaid en zodra dit de Facebook-app was, werd er door de app een pop-up met een Facebook-inlogscherm getoond. Dit was een phishingpagina waarop de gebruiker zijn gegevens moest invullen. Vervolgens werden de gegevens doorgestuurd naar de hackers achter de apps.

De apps zijn door Google niet alleen verwijderd uit de Play Store, maar ook uitgeschakeld bij gebruikers die één of meer van de apps hebben geïnstalleerd. Het is niet duidelijk hoeveel wachtwoorden gestolen zijn via de apps. Sommige apps stonden langer dan een jaar in de Play Store.