Когда пользователь устанавливал приложение на свой смартфон, ему предлагали авторизоваться под своей учетной записью Facebook, чтобы открыть доступ ко всем их функциям и отключить рекламу. В некоторых приложениях реклама действительно присутствовала, что еще больше побуждало владельцев Android-устройств выполнить нужное злоумышленникам действие.
Если пользователь соглашался и нажимал на кнопку авторизации, то он видел стандартную форму ввода логина и пароля социальной сети. При этом форма была настоящая. По словам специалистов «Доктор Веб», трояны применяли специальный механизм, чтобы обмануть своих жертв. Приложения, с помощью которых злоумышленники воровали пароли:
- App Lock Keep, App Lock Manager и Lockit Master (приложения, позволяющие настраивать ограничение доступа к Android-устройствам)
- PIP Photo и Processing Photo (редакторы изображений)
- Horoscope Daily и Horoscope Pi (астрологические программы)
- Rubbish Cleaner (утилита для оптимизации работы Android-устройств)
- Inwell Fitness (фитнес-программа)
Общее число установок превысило 5 856 010. Часть этих вредоносных программ из Google Play уже удалили. Специалисты пришли к выводу, что все эти программы получали настройки для кражи логинов и паролей от учетных записей Facebook, однако злоумышленники могли легко изменить параметры троянов и использовать их для кражи данных от совершенно любых сервисов.
