Google Play上有53款行动程序藏匿了名为GhostTeam的恶意软件,可窃取使用者的脸书凭证,还能偷偷传递广告,Google在接获通知后已将它们全数移除。
这些被植入GhostTeam的行动程序伪装成手电筒、条形码扫描仪、罗盘、档案交换工具、装置清除工具、社交影片下载器等,总计有53款,安装后会企图取得装置的管理权限。
研究显示,GhostTeam的主要目的在于取得脸书凭证,当用户开启脸书程序,并出现账号验证窗口时,GhostTeam执行了WebView,以窃取使用者登入脸书的电子邮件账号与密码,并将它们传送到由黑客掌控的远程服务器。此外,GhostTeam还会一直跳出广告窗口,播放全屏幕广告。
追踪后发现,GhostTeam的远程服务器位于越南,默认的语言为英文及越南话,若所感染的装置位于越南之外,就会以英文为默认语言,因而推测该恶意软件来自于越南。
GhostTeam感染全球的Android用户,受灾最严重的市场依序是印度、印度尼西亚、巴西、越南、澳洲与菲律宾。
Google在接获通知后已自Google Play上移除这53款程序,同时更新Google Play Protect以协助用户删除这些有害的程序。趋势科技同时也通知了脸书,脸书则表示将尽力阻止这些程序的散布,亦会藉由系统机制来侦测被危害的账号与凭证。