De beveiliging die Google heeft aangebracht om foute apps van de officiële Android Marktplaats te weren is niet waterdicht. Dat laten twee onderzoekers van Trustwave tijdens de Black Hat conferentie in Las Vegas zien. De in februari door Google geïntroduceerde Bouncer scant apps op malware en ander ongewenst gedrag en zou Android-gebruikers zo enige bescherming moeten bieden.

Onderzoekers Sean Schulte en Nicholas Percoco ontwikkelden een proof-of-concept Android-app, waarmee het mogelijk is om informatie te stelen of de telefoon aan DDoS-aanvallen mee te laten doen. Via de app zou het zelfs mogelijk zijn om een botnet van Android-telefoons te maken. Toch sloeg de Bouncer-beveiliging geen alarm.

Detectie
Exacte details onthullen de twee onderzoekers pas in juli, maar een tipje van de sluier is al opgelicht. Volgens Percoco werd er eerst een onschuldige applicatie op Google Play geplaatst. Deze applicatie werd vervolgens geüpdatet met code waardoor het steeds meer kwaadaardige zaken kon uithalen, zoals het stelen van foto's, plegen van clickfraude en versturen van spam.

Deze nieuwe features waren geobfusceerd door een techniek waardoor Bouncer de app gewoon toeliet. Zelfs handmatige controle van de code zou het bijna onmogelijk maken om de kwaadaardige functionaliteit te ontdekken.