Версия приложения Facebook Lite из сторонних магазинов мобильных приложений оказалась заражена трояном Spy FakePlay. Это приложение в реальности создано не компанией Facebook, а кем-то из Китая. Исследователи из компании Malwarebytes Labs говорят, что эта версия популярного мобильного приложения, которое расходует меньше трафика.
Приложение работает как и должно, но за кулисами происходит дополнительная вредоносная деятельность. Используется вредоносный приёмник (com.google.update.LaunchReceiver) и сервис (com.google.update.GetInst), чтобы выдать себя за обновление Google Update.
com.google.update.LaunchReceiver загружается при включении устройства, после чего запускается приёмник com.google.update.GetInst. Последний содержит вредоносный код для кражи персональной информации пользователей и установки других вредоносных программ. Собираются данные о номере ID устройства, версии операционной системы, Mac-адрес, операторе сотовой связи и т.д.
Китайское происхождение этого варианта Facebook Lite удалось установить по некоторым символам в коде. В Китае доступ к официальному магазину приложений Google Play закрыт, потому программа распространяется в сторонних магазинах. Без механизма сканирования Google эти магазины представляют собой не самое безопасное место. При наличии доступа в Google Play Store рекомендуется ставить программы только оттуда, хотя периодически вирусы проникают и в него.