این بدافزار یا ویروس اندروید در یک برنامه به نام System Update که کاربران خارج از فروشگاه پلی (Google Play) دانلود و نصب کرده اند پیدا شده است. پس از نصب توسط کاربر، برنامه داده های دستگاه قربانی را به سرورهای سازنده آن ارسال میکند.
محققان شرکت امنیتی موبایل Zimperium ، که این نرم افزار مخرب را کشف کرد، گفتند هنگامی که قربانی برنامه مخرب را نصب کرد، بدافزار با سرور Firebase اپراتور ارتباط برقرار می کند که برای کنترل از راه دور دستگاه استفاده می شود.
این جاسوس افزار می تواند پیام ها ، مخاطبین ، جزئیات دستگاه ، نشانک های مرورگر و سابقه جستجو را سرقت کند، تماس ها و صدای محیط را از میکروفون ضبط کند و با استفاده از دوربین های تلفن عکس بگیرد. این بدافزار همچنین مکان قربانی را ردیابی می کند، فایل های روی تلفن همراه را جستجو می کند و داده های کپی شده را از کلیپ بورد دستگاه می گیرد.
این بدافزار با کاهش میزان مصرف شبکه داده با بارگذاری عکس های کوچک در سرورهای مهاجم، به جای تصویر کامل، از قربانی مخفی می شود و سعی در فرار از آن دارد. این بدافزار همچنین به روزترین داده ها از جمله موقعیت مکانی و عکس ها را نیز ثبت می کند.
مدیر عامل شرکت Zimperium ، شریدار میتال گفت که این بدافزار احتمالاً بخشی از یک حمله هدفمند است.
ین به راحتی پیچیده ترین چیزی است که ما دیده ایم. من فکر میکنم وقت و تلاش زیادی برای ایجاد این برنامه صرف شده است. ما معتقدیم که برنامه های دیگری نیز از این قبیل در بازار وجود دارد و ما با تمام توان سعی می کنیم آنها را در اسرع وقت پیدا کنیم.
فریب شخص برای نصب یک برنامه مخرب، روشی ساده اما موثر برای به خطر انداختن دستگاه قربانی است. به همین دلیل دستگاه های اندرویدی به کاربران هشدار می دهند که برنامه هایی را از خارج از فروشگاه پلی نصب نکنند. اما بسیاری از دستگاه های قدیمی جدیدترین برنامه ها را اجرا نمی کنند، بنابراین کاربران را مجبور می کنند به نسخه های قدیمی برنامه های خود از سایر فروشگاه های برنامه اعتماد کنند.
میتال تأیید کرد که این برنامه مخرب هرگز در Google Play نصب نشده است. وقتی سخنگوی گوگل به آن دسترسی پیدا کرد، توضیحی درمورد اینکه شرکت برای جلوگیری از ورود بدافزار به فروشگاه گوگل پلی چه اقداماتی انجام داده است.
این نوع بدافزار دسترسی گسترده ای به دستگاه قربانی دارد و به اشکال و نام های مختلفی ارائه می شود، اما عمدتا همان کار را انجام می دهد. در روزهای ابتدایی اینترنت ، تروجان های دسترسی از راه دور یا RAT ، به هکر ها اجازه میداد تا از طریق وب سایت خود، برای قربانیان جاسوسی کنند. امروزه، برنامه های نظارت بر کودک اغلب برای جاسوسی از همسر فرد ، که به عنوان stalkerware یا spouseware شناخته می شوند، تغییر کاربری می دهند.
سال گذشته ، TechCrunch در مورد برنامه stalkerware KidsGuard که ظاهراً برنامه نظارت بر کودکان است، گزارش داد که از سیستم مشابه جاسوس ابزار ها برای اینکار از گوشی قربانیان استفاده میکند.
اما محققان نمی دانند چه کسی این بدافزار را ساخته یا چه کسی را هدف قرار داده است.