В конце мая 2020 года исследователи из французской ИБ-компании Evina обнаружили в официальном магазине Google Play Store 25 вредоносных приложений, суммарно загруженные более 2,34 млн раз.
Хотя все они предлагали разную легитимную функциональность (шагомеры, графические редакторы, видеоредакторы, обои, фонарики, файловые менеджеры и мобильные игры), на самом деле эти приложения работали одинаково — похищали учетные данные от аккаунтов Facebook.
Специалисты пишут, что 25 приложений явно были созданы одной группой разработчиков и содержали код, который определял, с каким приложением недавно работал пользователь. Если обнаруживалось, что это Facebook, малварь накладывала окно браузера поверх реального приложения Facebook и загружала в этом браузере фальшивую страницу входа в социальную сеть.
Если жертва не замечала подлога и вводила на фишинговой странице свои учетные данные, малварь сохраняла их и отправляла на удаленный сервер, расположенный на уже несуществующем домене airshop.pw.
В настоящее время все вредоносные приложения уже удалены из Google Play Store, однако специалисты отмечают, что некоторые из них были доступны в магазине более года. Полный список зараженных малварью приложений можно увидеть ниже.