Các ứng dụng mã độc này ngụy trang thành các tiện ích đa dạng (như đèn flashlight, quét mã QR và la bàn), tăng cường hiệu năng (như truyền tệp tin và dọn rác cleaner), các ứng dụng giải trí, lifestyle và tải video.

Giống với hầu hết các ứng dụng độc hại khác, các ứng dụng trên Android này không chứa bất kỳ mã độc nào, do vậy chúng vẫn có thể xuất hiện trên Play Store chính thức của Google.

Sau khi được cài đặt, đầu tiên phần mềm sẽ xác nhận thiết bị không phải là trình mô phỏng hay môi trường ảo. Tiếp đến payload của mã độc được tải về, lừa các nạn nhân đồng ý các quyền quản trị trên thiết bị.

Hãng Avast cho biết: Ứng dụng downloader thu thập thông tin thiết bị, như: ID, vị trí, ngôn ngữ và thông số hiển thị. Vị trí của thiết bị thu được từ địa chỉ IP mà địa chỉ này được dùng để kết nối với các dịch vụ trực tuyến cung cấp thông tin vị trí địa lý của các địa chỉ IP.

Cách thức malware trên Android đánh cắp mật khẩu tài khoản Facebook

Ngay khi người dùng mở ứng dụng Facebook, ứng dụng độc hại sẽ nhắc họ xác minh lại tài khoản bằng cách đăng nhập vào Facebook. Thay vì khai thác bất kỳ lỗ hổng hệ thống hoặc ứng dụng nào, mã độc này sử dụng chiến thuật tấn công giả mạo truyền thống (phishing).

Những ứng dụng giả mạo này chỉ cần khởi chạy một thành phần WebView có trang đăng nhập giống Facebook và yêu cầu người dùng đăng nhập, sau đó đánh cắp tên và mật khẩu Facebook của nạn nhân và gửi tới một máy chủ từ xa do tin tặc điều khiển.

Theo Avast, điều này rất có thể là do các nhà phát triển sử dụng các trình duyệt web nhúng (WebView, WebChromeClient) trong ứng dụng của họ, thay vì mở trang web trong trình duyệt. Còn các nhà nghiên cứu của Trend Micro cảnh báo, những thông tin đã bị đánh cắp có thể được dùng lại để lây lan malware nguy hiểm hơn, phát tán tin tức giả mạo hoặc tạo ra mã độc đào tiền ảo.

Các tài khoản Facebook bị đánh cắp cũng có thể tiết lộ nhiều thông tin định dạng cá nhân, tài chính khác và có thể bị rao bán ở các thị trường chợ đen.

Cũng theo các nhà nghiên cứu, hầu hết người dùng bị ảnh hưởng bởi ứng dụng GhostTeam tại Ấn Độ, Indonesia, Brazil, Việt Nam và Philippines.

Bên cạnh việc đánh cắp thông tin đăng nhập Facebook, GhostTeam cũng hiển thị các pop-up quảng cáo không mong muốn trên background.

Tất cả các ứng dụng đã được Google xóa khỏi Play Store sau khi được các chuyên gia nghiên cứu thông báo. Tuy nhiên, với những thiết bị đã cài đặt ứng dụng độc hại trên, người dùng được khuyến cáo bật tính năng Google Play Protect.

Tính năng an ninh của Play Protect sử dụng học máy và phân tích việc dùng ứng dụng để xóa các ứng dụng độc hại trên điện thoại Android và bảo vệ người dùng trước những mối nguy hiểm.

Mặc dù không tránh khỏi các ứng dụng độc hại trên app store chính thức, cách tốt nhất để người dùng bảo vệ mình là luôn cẩn trọng khi tải xuống các ứng dụng và luôn xác minh các quyền của ứng dụng và các đánh giá về ứng dụng trước khi tải xuống.

Hơn nữa, người dùng nên cài ứng dụng diệt virus trên thiết bị di động để có thể phát hiện và ngăn chặn mối đe dọa trên trước khi chúng lây nhiễm thiết bị và luôn cập nhật thiết bị và ứng dụng của mình.