Kết quả nghiên cứu cho thấy 132 ứng dụng này được tạo ra không nhằm mục đích lây nhiễm trên các thiết bị Android mà mục tiêu nhắm đến là người dùng Windows. Theo Palo Alto, đây là một trong những trường hợp kỳ lạ nhất được phát hiện từ trước đến nay.

Theo ghi nhận, có khá nhiều ứng dụng trong danh sách bị nhiễm độc đạt hơn 10.000 lượt tải và cài đặt. Khi nhận được thông tin từ Palo Alto, phía Google đã ngay lập tức gỡ bỏ các ứng dụng khỏi Play Store nhằm hạn chế sự lây nhiễm.

Tất cả ứng dụng dính mã độc đều có điểm chung là sử dụng Android WebView để hiển thị các trang HTML tĩnh. Khi phân tích mã HTML, các nhà nghiên cứu nhận thấy có một iFrame nhỏ liên kết với tên miền độc hại. Đáng chú ý, khi người dùng cài đặt, ứng dụng sẽ tải về một tập tin .exe và “nằm vùng” chờ đợi, một khi bạn kết nối điện thoại với máy tính thì phần mềm độc hại sẽ bắt đầu chạy. 

Sau khi lây nhiễm thành công vào máy tính, phần mềm độc hại sẽ bắt đầu tìm kiếm các tập tin HTML và chèn thêm iFrame. 132 ứng dụng dính mã độc sẽ không ảnh hưởng đến người dùng Android, tuy nhiên nó đóng vai trò mở đường cho các phần mềm độc hại khác. Kiểu tấn công này tương tự như phần mềm XcodeGhost được phát hiện trong năm 2015.