Foto: Bloomberg
Dat stelt beveiligingsbedrijf Symantec tegenover Mashable.
De app InstLike was maandenlang beschikbaar in Google Play en in de App Store van Apple. Gebruikers moesten hun logingegevens voor Instagram invoeren en konden vervolgens likes en nieuwe volgers krijgen.
InstLike maakte geen gebruik van de officiële API van Instagram. Die maakt het mogelijk om veilig in te loggen bij derden met een Instagram-account.
In plaats daarvan werden logingegevens ingevuld in een formulier van de appmakers zelf. Zo kreeg de app volledige controle over de accounts van gebruikers.
Munten
De app werkte met een muntensysteem. Elke dag kregen gebruikers twintig munten. Voor één munt kon een like worden gekocht, voor tien munten een nieuwe volger. Als de dagelijkse muntenvoorraad op was, kon worden betaald voor extra munten.
De likes en volgers werden geleverd door de accounts van andere InstLike-gebruikers over te nemen.
Hoeveel geld door de app werd opgehaald is onduidelijk, maar volgens Symantec was de omzet ongeveer gelijk aan die van de populaire game Temple Run 2.
Uit Google Play werd de app tussen de 100.000 en 500.000 keer gedownload. Zulke cijfers zijn voor de App Store niet beschikbaar. Volgens Symantec is het een conservatieve schatting dat de makers van InstLike minstens 100.000 wachtwoorden wisten te verzamelen.
Verwijderd
Het bedrijf lichtte Google en Apple eind oktober in over het bestaan van de app. Deze verdween op 25 oktober uit Google Play en op 7 november uit de App Store.
Mensen die de app al hadden gedownload kunnen deze echter blijven gebruiken, en ook de site van InstLike is nog online. De beveiligingsonderzoekers raden gebruikers aan direct hun wachtwoord te wijzigen.