Theo phát hiện của những chuyên gia bảo mật tại Dr.Web, các ứng dụng độc hại này đã thu hút người dùng tắt quảng cáo trong ứng dụng bằng cách liên kết với hồ sơ Facebook của họ, yêu cầu nhập tên người dùng và mật khẩu Facebook.
Những kẻ tấn công đã sử dụng mã JavaScript độc hại để chuyển thông tin đăng nhập và mật khẩu bị đánh cắp cho các ứng dụng trojan, sau đó chuyển dữ liệu đến máy chủ C&C của kẻ tấn công để đánh cắp dữ liệu người dùng. Sau khi nạn nhân đăng nhập vào tài khoản của họ, trojan cũng đã đánh cắp cookie từ phiên ủy quyền hiện tại. Những cookie đó cũng đã được gửi cho tội phạm mạng.
Các phần mềm độc hại này được đặt dưới dạng các tiêu đề dễ tìm và đã có hơn 5,8 triệu lượt tải xuống.
Có 5 biến thể phần mềm độc hại trong hỗn hợp, nhưng tất cả chúng đều sử dụng cùng một mã JavaScript và định dạng tệp cấu hình để quét thông tin.
Google cho biết, họ đã xóa các ứng dụng độc hại, đồng thời cấm tất cả các nhà phát triển của những ứng dụng này khỏi Play Store. Tuy nhiên, những kẻ lừa đảo có thể tạo tài khoản nhà phát triển mới, do vậy Google có thể cần phải tự sàng lọc phần mềm độc hại để ngăn chặn những kẻ tấn công.
Tính năng sàng lọc tự động phần lớn của Google giúp ngăn chặn rất nhiều phần mềm độc hại ra khỏi Play Store, nhưng thủ thuật tinh vi của những kẻ lừa đảo đã giúp các ứng dụng giả mạo vượt qua được những biện pháp kiểm tra và đánh cắp thông tin của các nạn nhân. Google khuyến cáo người dùng nên đặt chế độ xác thực 2 yếu tố của Facebook và thận trọng khi tải các ứng dụng từ những nhà phát triển thiếu uy tín dù đó là những ứng dụng phổ biến.