Säkerhetsforskarna på Upstream har upptäckt allvarlig skadlig kod i appen Ai.type, en app som fram tills i juni fanns på Play Store och fortfarande syns på tredjepartsbutiker för Android-appar, rapporterar The Register.

Koden utförde falska köp av premiumtjänsten (gissningsvis via sms, eftersom appen hade behövt be om användarens lösenord för att göra köp-i-appen på Play Store) och falska reklamklick för att dra in pengar till de som ligger bakom.

Den skadliga koden har enligt forskarna hittats i kodbibliotek och inte i appens egna kod. Huvuddelen av aktiviteten Secure-D upptäckte skedde i juli efter att appen plockades bort från Play Store, och forskarna spekulerar att vem det nu är som ligger bakom valde att aktivera koden då för att tjäna en hacka medan appen fortfarande ligger på miljontals enheter.

Upstreams säkerhetstjänst Secure-D har blockerat 14 miljoner försök till köp från 110 000 infekterade enheter, som tillsammans hade kostat användarna över 170 miljoner kronor om de gick igenom.

Appen Upstream pratar om har id:t ”com.aitype.android” och det är också vad en länk på utvecklarens webbplats aitype.com pekar på. Den är mycket riktigt borttagen från Play Store, men däremot finns en app som ser identisk ut och har id:t ”com.aitype.android.f” och namnet ”ai.type Free Emoji Keyboard 2019”. Samma utvecklare har också andra versioner på olika språk och en Plus-variant som kostar en slant.