Flera av apparna har miljontals nedladdningar, en av dem är ett icke namngivet mobilspel med uppemot 100 miljoner nedladdningar, det skriver säkerhetsföretaget Lookout som nystat upp härvan.

Den gemensamma nämnaren är att de innehåller ett utvecklingsverktyg som heter Igexin. Apputvecklarna använder det för att lägga in riktade annonser, men av allt att döma har de varit lyckligt ovetande om att Igexin innehåller ett medvetet säkerhetshål, en så kallad bakdörr.

Läs också: Så ska Google öka farten på internet med ny algoritm

Med hjälp av den har Igexins skapare kunnat smyga in spionprogram via apparna som använder pluginet. Alla som använder de över 500 apparna har inte angripits, men forskarna har sett exempel på trojaner som bland annat stulit gps-data, samtalshistorik, listor på installerade appar och på närliggande wifi-nätverk, skriver Arstechnica.

Lookout har inte gått ut med namnet på de drabbade apparna, men samtliga har antingen dragits tillbaka från Google Play eller ersatts med uppdaterade versioner utan säkerhetshål.

Läs också: Android 8 Oreo är här – så får du nyheterna redan i dag

"Vi har stoppat de här apparna i Play, och automatiskt säkrat upp tidigare nedladdade versioner av dem också", skriver en talesperson för Google i ett mejl till Arstechnica.