Эксперты Trend Micro выявили новую киберкампанию по распространению вредоносной программы для Android-устройств, которая похищает учетную информацию пользователей Facebook и демонстрирует нежелательную рекламу. Распространение программы GhostTeam осуществлялось через Google Play. От активности шпионского ПО могли пострадать сотни тысяч ничего не подозревающих пользователей.
Впервые GhostTeam появилась в Google Play Store в апреле прошлого года. Она была замаскирована под легитимные приложения, улучшающие производительность и загружающие видеоролики из социальных сетей. Всего эксперты обнаружили 53 приложения, которые занимались распространениением GhostTeam и были загружены от 100000 до 500000 раз.
Пока что нельзя точно сказать, с какой целью хакеры собирали учетную информацию пользователей Facebook. Следует отметить, что сфера применения таких данных достаточно обширна: распространение дополнительных вредоносных программ, майнинг криптовалюты, рассылка фальшивых новостей и так далее.
После проникновения на устройство программа GhostTeam проводит проверку, не загружена ли она на эмулятор или виртуальную машину. Эта процедура призвана усложнить ИБ-экспертам работу по анализу кода. Если программа установила, что загружена на обычное Android-устройство, она скачивает полезную нагрузку, замаскированную под сервисы Google Play, запрашивающие проверку приложений.
При открытии пользователем Google Play или Facebook на экране отображалось уведомление, призывающее установить фальшивую версию Google Play Services. Этот вариант Google Play Services запрашивал у жертвы привилегии администратора. В случае успеха GhostTeam захватывал контроль над устройством. В следующий раз при открытии Facebook пользователь видел на экране уведомление с требованием пройти процедуру верификации аккаунта. Введенная жертвой учетная информация передавалась напрямую на сервер хакеров.
Эксперты проинформировали Google о киберкампании, после чего приложения, занимающиеся распространением GhostTeam, были удалены из Google Play.
