Theo GizChina, đây là một loại phần mềm độc hại Clicker, có nghĩa nó có thể điều khiển thiết bị Android của nạn nhân và truy cập các trang web mà họ không biết hoặc không đồng ý. Các ứng dụng hiện không còn có sẵn trong cửa hàng, nhưng rất có thể nhiều người dùng vẫn cài đặt chúng trên điện thoại của họ.
Báo cáo cho biết, ban đầu các ứng dụng độc hại giả vờ trở thành các công cụ di động thực tế như đèn pin, trình quản lý tác vụ, lịch, ứng dụng máy ảnh hoặc ứng dụng ghi chú… Tuy nhiên, khi chúng có sẵn trên thiết bị của người dùng, các ứng dụng sẽ tham gia vào các hoạt động gian lận quảng cáo, chẳng hạn như các lượt truy cập trang web ngẫu nhiên nhằm mang lại tiền cho kẻ tấn công.
Các ứng dụng được phát hiện chứa phần mềm độc hại có hàng triệu lượt tải xuống từ Google Play Store. Dưới đây là tên các ứng dụng và số lượt tải xuống tính cho đến khi chúng không còn trên cửa hàng của Google:
- High-Speed Camera - Hơn 10 triệu lượt tải xuống
- Smart Task Manager - Hơn 5 triệu lượt tải xuống
- Flashlight+ - Hơn 1 triệu lượt tải xuống
- Memo Calendar - Hơn 1 triệu lượt tải xuống
- K-Dictionary - Hơn 1 triệu lượt tải xuống
- BusanBus - Hơn 1 triệu lượt tải xuống
- Flashlight+ - Hơn 500.000 lượt tải xuống
- Quick Note - Hơn 500.000 lượt tải xuống
- Currency Converter - Hơn 500.000 lượt tải xuống
- Joycode - Hơn 100.000 lượt tải xuống
- EzDica - Hơn 100.000 lượt tải xuống
- Instagram Profile Downloader - Hơn 100.000 lượt tải xuống
- Ez Notes - Hơn 100.000 lượt tải xuống
- Flash Lite - Hơn 1.000 lượt tải xuống
- Calcul - Hơn 100 lượt tải xuống
- Flashlight+ - Hơn 100 lượt tải xuống
Sau khi người dùng khởi chạy các ứng dụng Android nói trên, nó sẽ gửi một yêu cầu HTTP để tải xuống cấu hình từ xa. Cấu hình đăng ký trình nghe FCM (Firebase Cloud Messaging) để nhận thông báo đẩy sau khi tải xuống. Thoạt nhìn, nó có vẻ là một phần mềm Android tốt nhưng thực tế đang sử dụng cấu hình từ xa và các kỹ thuật FCM để che giấu các tính năng gian lận quảng cáo.
Chức năng tiềm ẩn bắt đầu hoạt động sau khi nhận được tin nhắn FCM và một số yêu cầu nhất định được đáp ứng. Nó chủ yếu liên quan đến việc truy cập các trang web được gửi qua tin nhắn FCM và duyệt chúng trong nền, đồng thời bắt chước hành vi của người dùng. Trong khi mục đích của nó là kiếm tiền cho tác nhân xấu tạo ra phần mềm độc hại nhưng việc hoạt động có thể tạo ra nhiều lưu lượng mạng và sử dụng nhiều năng lượng mà người dùng không hề hay biết.
Các chuyên gia bảo mật tại McAfee khuyến cáo người dùng cần xóa bất kỳ ứng dụng nào trong danh sách nói trên khỏi thiết bị Android của họ càng sớm càng tốt. Người dùng cũng được khuyên nên cài đặt và bật phần mềm bảo mật trên thiết bị để nhanh chóng nhận được thông báo về bất kỳ mối đe dọa nào có sẵn trên thiết bị của họ.