רנדי טומס, בכיר בחברת אבטחת המידע ESET מפרסם מאמר שבו הוא מפרט את הליך גניבת פרטי אשראי תוך שימוש בממשק אנדרויד.
כשמשתמש אנדרואיד מתקין אפליקציה הוא נדרש לאשר גם מספר הרשאות גישה שממנה תהנה האפליקציה. דברים אלה משתנים מיישום ליישום וכוללים גישה לאינטרנט, ביצוע שיחות, שליחת SMSים ועוד. המשתמש הממוצע רואה את "נוהל אישור האפליקציה" כבזבוז זמן ופשוט מאשר את האפליקציה. במילים אחרות - גן עדן ל"דייגים".
יישומי פישינג (או דיוג בעברית) - יישומים המסוגלים לבצע גניבת נתונים תוך התחזות לגורם אחר.
באנדרואיד יישומי דיוג כזה לא דבר חדש (ראו לדוגמא את Tapsnake), דבר זה הביא חבורה של חוקרים מאוניברסיטאות הונג קונג ואינדיאנה לפתח את האפליקציה soundminer כפרויקט שיוכיח את העקרון הזה. המיוחד באפליקציה הזו הוא שהרשאות שהיא מבקשת מסתכמות בגישה ל'שיחות'. על מנת לקרוא את מצב הטלפון ולהגיע ל'מידע האישי שלך' יש להקליט אודיו. על פניו נראה לגיטימי כשמדובר באפליקציה להקלטת קול.
מהרגע שהיא הותקנה על הטלפון ה soundminer יושבת בשקט ברקע ומחכה לשיחה, כשהשיחה לבסוף נכנסת היא מאזינה בסבלנות ומקליטה את הנאמר עד שהיא קולטת מספר כרטיס אשראי ומבצעת את הפעולה הנדרשת כדי להפוך את הקלטת הקול למספרים. המפתחים אף העלו סרטון ל youtube שמדגים את פעולת האפליקציה.
והנה הדובדבן שבקצפת. ל soundminer עצמה אין הרשאת גישה ל'תקשורת רשת' ועל מנת שהיא תוכל לשלוח את הנתונים שאספה לגורם חיצוני היא זקוקה לעזרה של אפליקציה נוספת. יישום זה נקרא deliverer והוא נוצר למטרה הזו בלבד - לשלוח את המידע לתוקף.
כשגוגל תכננה את האנדרואיד היא דאגה להגביל את התקשורת בין האפליקציות, אבל המפתחים במקרה הזה מצאו דרך לעקוף הגבלות אלו. במקום לשלוח את המידע באופן ישיר מתוכנה אחת לאחרת, הם משתמשים בצורה מתוחכמת של קוד מורס. כן, לא טעיתם, קוד מורס הישן והטוב הוא קרוב לוודאי שיטת התקשורת הבינארית הנפוצה הראשונה. נקודות וקווי מקף הם לא שונים בהרבה מאחדים ואפסים. יישום אחד משנה משהו כמו בהירות המסך בזמן שהיישום השני קורא את בהירות המסך.
במקרה זה האפליקציה פותחה כהוכחה לרעיון,אך המסר הוא ברור. השתמשו באנדרואיד שלכם בחוכמה ולפני שאתם מתקינים אפליקציה תשאלו עצמכם עד כמה באמת אתם צריכים את האפליקציה הזו. הבחירה הטובה ביותר במקרה כזה תהיה לא להתקין הרבה אפליקציות שאתם יודעים עליהן כל כך מעט.