Версия неофициального приложения Facebook Lite, предлагающее сторонними магазинами мобильных приложений оказалась заражена трояном Spy FakePlay.
Как вы уже поняли, данное приложение не разрабатывалось компанией Facebook, а подготовлено кем-то из Китая. Исследователи Malwarebytes Labs отметили, что эта версия мобильного приложения, расходует меньше трафика.
Приложение работает как и должно, но скрытый код запускает вредоносную деятельность. Используется вредоносный приёмник (com.google.update.LaunchReceiver) и сервис (com.google.update.GetInst), чтобы выдать себя за обновление Google Update.
com.google.update.LaunchReceiver загружается при включении мобильного устройства, после чего запускается приёмник com.google.update.GetInst. Последний содержит вредоносный код для кражи персональных данных пользователей и установки прочих вредоносных программ. Собираются данные о номере ID устройства, версии операционной системы, Mac-адрес, операторе сотовой связи и т.д.
Китайское происхождение этого варианта Facebook Lite удалось установить по некоторым символам в коде. В Китае доступ к официальному магазину приложений Google Play закрыт, поэтому приложение распространяется в сторонних магазинах. Без механизма сканирования Google эти магазины представляют собой не самое безопасное место. При наличии доступа в Google Play Store рекомендуется ставить программы только оттуда, хотя периодически вирусы проникают и в него.