Hacking Team had een app in de Play Store die zich voordeed als een nieuws-app, maar die in de praktijk kon worden gebruikt om een backdoor op een Android-apparaat te installeren.

BeNews was een app die in de Play Store werd aangeboden en door Google was veilig gekeurd. Malafide code werd pas na installatie gedownload en dus niet opgemerkt door de Play Store, zo melden onderzoekers van Trend Micro. De app is inmiddels offline gehaald door Google.

De app vroeg gebruikers om drie algemene bevoegdheden. Zodra een gebruiker deze rechten toekende kon de app dankzij de kwetsbaarheid in Android code uitvoeren vanaf een webpagina. Aangezien Google alleen nieuwe apps controleert detecteerde het beveiligingssysteem van het bedrijf dit niet.

Het is de zoveelste kwetsbaarheid in korte tijd die wordt aangetroffen in de gestolen data van Hacking Team. De gebruikte kwetsbaarheid is in ieder geval aanwezig in Android 2.2 tot Android 4.4. Trend Micro sluit echter niet uit dat ook Android 5.0 en Android 5.1 kwetsbaar zijn.