Компании Trend Micro и Avast сообщили о том, что примерно в пятидесяти приложениях каталога Google Play содержался вирус GhostTeam, который похищал учетные записи от аккаунтов пользователей в Facebook.

Примечательно, что эти приложения начали появляться в сервисе Google Play еще в апреле 2017 года. Но заметить их смогли только недавно. Одно из вредоносных приложений было скачено около 500 тысяч раз. Таким образом, становится понятно, как много пользователей пострадали от действий мошенников. По своим тематикам зараженные приложения были совершенно разные. Например, это были и сканеры QR-кодов, фонарики, компасы, «чистильщики», развлекательные приложения и для загрузки видео.

Поскольку приложения, содержавшие вирусы, не могли бы попасть в Google Play, они начинали работу уже после установки. Вредоносная программа загружала с удаленного сервера вредоносный пейлоад лишь убедившись, что она не работает в изолированном окружении. После загрузки вредоносного кода, вирус запрашивал у пользователя права администратора, получив которые полностью закреплялся в системе и начинал свою работу.