7月5日，卡巴斯基的合作伙伴MegaFon发现一个可疑程序在 Apple App Store and Google Play出现。这是首例apple app store上出现的恶意软件。疑似为SMS蠕虫的Find and Call，通过向手机通讯录的联系人发送包含URL的短信来实现传播。随后卡巴期基分析了这款在iOS和Android版本的app程序，发现它其实是个木马，会伤成用户的通讯录到远程地址。“复制”（大意为之前怀疑的通过SMS传播的动作）行为其实是在服务器端完成的。服务器会向用户通讯录中所有的收件人发送垃圾短信。

这款名为Find and Call的app在iOS Apple App Store和Android’s Google Play都有，并且用户的评价都是极差，反映会发送垃圾邮件。（截至发稿，Apple及google应用商场已经把这款应用剔除）。

用户运行这个应用时，需要输入email地址和电话号码，当用户使用软件功能（find friends in a phone book）时，他的通讯录数据就会被秘密发送到远程服务器。格式形式如“http://abonent.findandcall.com/system/profile/phoneBook?sid=”，同时该应用还会上传用户的GPS信息。然后，服务器会对收集到的通讯录手机发送垃圾邮件，内容是包含一个URL诱使用户去下载Find and Call的。最大的问题是，短信的来源地址包括用户的电话号码，让短信看起来是来自真实可信的人。

事件未就此分析完毕，卡巴斯基跟踪了这个公司，发现这个app的网页登进去以后，可以输入社交网络，email还有PayPal帐号信息，来对用户的帐号进行充值。而充值的目标公司指向新加坡一个叫LABWEALTH.COM PTE. LTD的公司。事后该应用的开发者表示，系统正在beta的测试阶段。由于一个组件的功能出错了，导致发送邀请短信消息。

有兴趣研究代码的可以看看卡巴期基的blog

https://www.securelist.com/en/blog/208193641/Find_and_Call_Leak_and_Spam

综观事件，到底是不是因为测试未成熟导致发送垃圾邮件呢？还不清楚，但是到底还是未经用户同意上传了用户数据。