عثر باحث أمني على تطبيق مزيف للرسائل النصية على نظام أندرويد يعمل سرًا بوصفه وسيلة لإنشاء حسابات على مواقع، مثل: مايكروسوفت، وجوجل، وإنستاجرام، وتيليجرام، وفيسبوك.
وقال الباحث إن أرقام الهاتف الخاصة بالأجهزة التي ثُبِّت عليها التطبيق، الذي نُزِّل نحو 100,000 مرة من متجر جوجل بلاي الخاص بنظام أندرويد ، تُؤجَّر بعد ذلك دون علم مالكيها للحصول على رمز المرور الذي يُستخدم عادةً مرة واحدة للتحقق من المستخدمين أثناء إنشاء حسابات جديدة.

وفي حين أن التطبيق حاصل على تصنيف عام يبلغ 3.4، فإن العديد من تعليقات المستخدمين تقول إنه مزيف، ويخطف هواتفهم، ويُرسل إليهم عدة رموز مرور حين التثبيت.
اكتشف تطبيق Symoo الباحث الأمني لدى شركة Evina، ماكسيم إنجرو، الذي أبلغ جوجل بذلك، ولكنه لم يتلق أي رد من فريق أندرويد. ولا يزال حتى لحظة كتابة التقرير متاحًا على متجر جوجل بلاي.
آلية عمل تطبيق Symoo

حين التثبيت على الجهاز، يطلب التطبيق إذنًا لإرسال وقراءة الرسائل القصيرة، الأمر الذي يبدو طبيعيًا لأن Symoo يُسوِّق نفسه على أنه تطبيق “سهل الاستخدام” للرسائل النصية.
وفي الشاشة الأولى، يطلب من المستخدم تقديم رقم هاتفه، بعد ذلك، يعرض شاشة تحميل مزيفة يُفترض أنها تُظهر تقدم تحميل الموارد. ولكن هذه العملية تطول على نحو يسمح لمشغلي التطبيق بإرسال العديد من الرسائل النصية التي تُستخدم كرموز للمصادقة الثنائية لإنشاء حسابات على العديد من الخدمات، وقراءة محتوى الرسائل، ثم إرسالها إلى المشغلين.