Các mã độc này có tên gọi Facestealer, được cài ngầm trong các ứng dụng tưởng chừng như vô hại. Các nhà nghiên cứu tại Trend Micro (Nhật Bản) cho biết gần đây họ đã xác định được hơn 200 biến thể của mã độc này trên Google Play và Google đã phải gỡ bỏ chúng.
Theo kết quả thống kê của các nhà nghiên cứu, một số ứng dụng biến thể của mã độc đã được người dùng cài đặt tới hơn 100.000 lần. Mã độc Facestealer thường được cài ngầm trong các các công cụ dùng để chỉnh sửa, thao tác hoặc chia sẻ ảnh và ở một số dạng khác.
Một trong số các ứng dụng được cài đặt nhiều nhất là Daily Fitness OL được biết đến như một ứng dụng hướng dẫn tập luyện thể dục. Theo đó, ứng dụng tập thể dục giả mạo Daily Fitness OL sẽ yêu cầu người dùng đăng nhập vào Facebook thông qua trình duyệt. Cùng với đó, ứng dụng này có thể nhúng một đoạn mã JavaScript vào trang web đã tải để lấy cắp thông tin đăng nhập của người dùng.
Mã độc Facestealer được phát hiện lần đầu tiên vào 7/2021 và đã được các nhà nghiên cứu tại công ty an ninh mạng di động Pradeo (Pháp) phát hiện chạy ngầm tại các máy chủ của Nga.
Một số các ứng dụng Facestealer khác do Trend Micro tìm thấy có thể kể đến như: Enjoy Photo Editor, Panorama Camera, Photo Gaming Puzzle, Swarm Photo và Business Meta Manager.