Avast! และ Trend Micro สองผู้ให้บริการซอฟต์แวร์ Antivirus ชื่อดัง ออกมาแจ้งเตือนถึงมัลแวร์ GhostTeam ซึ่งแพร่กระจายตัวอยู่ใน Google Play Store รวมแล้วมากกว่า 50 แอปพลิเคชัน ซึ่งช่วยให้แฮ็กเอร์สามารถขโมยข้อมูลล็อกอินของ Facebook และแสดงโฆษณาบนอุปกรณ์ที่ติดมัลแวร์ได้
ทีมนักวิจัยด้านความมั่นคงปลอดภัยของทั้งสองบริษัทระบุว่า มัลแวร์ดังกล่าวแฝงตัวอยู่ในแอปพลิเคชันบน Google Play Store มาตั้งแต่เดือนเมษายนปี 2017 โดยใช้เทคนิคในการแพร่กระจายตัวที่ค่อนข้างใหม่และมีประสิทธิภาพ โดยเริ่มจากหลอกให้ผู้ใช้ดาวน์โหลดแอปพลิเคชันบน Google Play Store มาติดตั้งก่อน แอปพลิเคชันดังกล่าวจะเป็นแอปพลิเคชันที่ดูเหมือนไม่มีพิษมีภัย ไม่ได้ทำอันตรายแก่ตัวเครื่องโดยตรง แต่จะทำหน้าที่เป็น Dropper ซึ่งจะติดต่อกับ C&C Server เพื่อทำการดาวน์โหลดและติดตั้งแอปพลิเคชันอีกตัวหนึ่งซึ่งมีมัลแวร์ GhostTeam แฝงตัวอยู่ ผ่านทางการแจ้งเตือนผู้ใช้ว่ามีปัญหาเกี่ยวกับความมั่นคงปลอดภัย จำเป็นต้องดาวน์โหลดแอปมาติดตั้งเพิ่มเติมและต้องใช้สิทธิ์ Admin
หลังจากที่แอปพลิเคชัน GhostTeam ถูกติดตั้งลงบนเครื่องและได้สิทธิ์ Admin แล้ว มันจะเริ่มแสดงโฆษณาบนเครื่องของผู้ใช้ทันที รวมไปถึงใช้วิธีพิเศษในการแอบขโมยข้อมูล Credential จากหน้าล็อกอินจริงของ Facebook กล่าวคือ เมื่อผู้ใช้กำลังจะเปิดแอป Facebook มัลแวร์จะทำการเปิดหน้าล็อกอินของ Facebook ผ่านทาง Headless Browser ของ Android โดยใช้ WebView หรือ WebChromeClient แทน พร้อมกับแทรกโค้ด JavaScript สำหรับเก็บข้อมูลล็อกอิน Facebook ของผู้ใช้เข้าไปด้วย เมื่อผู้ใช้ลงทะเบียนเข้าใช้ Facebook ข้อมูลเหล่านั้นก็จะถูกส่งกลับไปยัง C&C Server ของแฮ็กเกอร์ในภายหลัง
จุดเด่นสำคัญของวิธีนี้คือ การดำเนินการทุกขั้นตอนถูกกระทำบนหน้าล็อกอินจริงของ Facebook และผ่านทางระบบที่ถูกต้องของ Android ทำให้ซอฟต์แวร์รักษาความมั่นคงปลอดภัยส่วนใหญ่บนเครื่องไม่สามารถตรวจจับและป้องกันได้
Avast! และ Trend Micro ระบุว่า มีแอปพลิเคชันบน Google Play Store ที่นำไปสู่มัลแวร์ GhostTeam มากถึง 53 แอปพลิเคชัน ซึ่งแอปพลิเคชันทั้งหมดใช้ภาษาเวียดนามเป็นภาษาพื้นฐาน และ C&C Server ก็เป็น IP จากประเทศเวียดนาม ทำให้คาดเดาได้ไม่ยากว่าแฮ็กเกอร์น่าจะเป็นชาวเวียดนาม อย่างไรก็ตาม ประเทศที่ได้รับผลกระทบจาก GhostTeam มากที่สุดกลับเป็นอินเดีย อินโดนีเซีย และบราซิล ตามลำดับ คิดเป็น 60% ของอุปกรณ์ทั้งหมดที่ติดมัลแวร์
ทั้งสองบริษัทได้แจ้งเรื่องมัลแวร์ GhostTeam ไปยัง Google ซึ่งก็ได้ลบแอปพลิเคชันทั้ง 53 รายการออกจาก Play Store เป็นที่เรียบร้อย ส่วนใหญ่เป็นแอปพลิเคชันประเภท Flashlight, QR Code Scanner, Compass, Device Optimization และ Device Cleaning สามารถดูรายชื่อแอปพลิเคชันทั้งหมดได้ที่นี่ [PDF] ถ้าพบว่าบนอุปกรณ์ของตนมีแอปพลิเคชันดังกล่าวติดตั้งอยู่ ให้รีบลบแอปพลิเคชันทิ้ง เปลี่ยนรหัสผ่าน Facebook และใช้การพิสูจน์แบบ 2-factor Authentication