Propagat cu ajutorul a peste 200 de aplicații distribuite prin intermediul Play Store, Facestealer este creat pentru a recolta cât mai multe informații despre tine, inclusiv parolele folosite.
Partea de deturnare a parolelor pare că funcționează cu ajutorul tehnicilor de phishing, utilizatorii fiind întâmpinați cu false dialoguri de introducere a parolelor, substituind interfața folosită de către site-urile legitime. Bonus, atacatorii își suplimentează veniturile prin afișarea de reclame nesolicitate, copleșind potențialele victime.
Potrivit investigațiilor desfășurate, malware-ul a apărut începând cu luna iulie 2021, fiind mai întâi detectat în doar 10 aplicații de Android. Între timp, „șeptelul” a crescut la peste 200 de aplicații compromise, distribuite prin intermediul magazinului Play Store și active timp de mai multe săptămâni înainte de a fi descoperite și eliminate.
Printre categoriile compromise s-au numărat aplicații foarte populare precum servicii VPN, aplicații pentru camera foto și editare imagine. Desigur, nu puteau lipsi aplicațiile pentru criptomonede, deturnat din nou pentru obținerea de acces la portofelele de criptomonede ale utilizatorilor.
Ce este mai grav este că modul în care aplicațiile au fost compromise a depășit inclusiv filtrele antimalware folosite de Google, lăsând sub semnul întrebării si alte aplicații mai puțin cunoscute, protejate folosind aceleași mecanisme automate. Și mai grav este că Google, deși descoperă aceste probleme, măsurile luate sunt mai degrabă reactive decât proactive, măsurile de securitate necesare fiind aplicate cu multă întârziere.