Google heeft 53 Android-apps uit de Play Store verwijderd die inloggegevens voor Facebook konden stelen en overal advertenties toonden. De apps, die zich voordeden als zaklamp, QR-scanner, kompas, cleanertool en videodownloaders, stonden sinds april 2017 in de Play Store, zo meldt Trend Micro.

Zodra de apps geïnstalleerd waren controleerden die of het toestel in kwestie een echt apparaat was en geen emulator of virtuele omgeving. Vervolgens werd de uiteindelijke malware gedownload die zich voordeed als "Google Play Services". Bij het openen van Google Play of Facebook verscheen er een waarschuwing en werden gebruikers gevraagd om de zogenaamde Google Play Services te installeren en beheerdersrechten te geven. Wanneer gebruikers hun Facebook-app openden liet de malware een venster zien waarin werd gevraagd het Facebook-account te verifiëren.

Hiervoor moesten gebruikers hun e-mailadres en wachtwoord invoeren, die in de achtergrond naar de aanvallers werden gestuurd. Voor zover bekend is er geen misbruik van de gestolen Facebook-logins gemaakt. Naast het stelen van Facebook-logins liet de malware ook pop-ups met advertenties zien en toonde advertenties op het homescherm. Na te zijn ingelicht heeft Google de apps (pdf) uit de Play Store verwijderd en detectie hiervan aan Google Play Protect toegevoegd, zodat besmette toestellen kunnen worden opgeschoond. De apps werden met name door Indiase, Indonesische en Braziliaanse Android-gebruikers gedownload.

Update

Anti-virusbedrijf Avast heeft ook een analyse van de malafide Android-apps online gezet, waaronder verschillende screenshots.