Một ứng dụng độc hại mới và có cách hoạt động khá “tinh tế” bằng cách “nguỵ trang” như một bản cập nhật phần mềm được được các nhà nghiên cứu phát hiện mới đây, theo nguồn tin của ZDNet.
Cụ thể, theo Zimperium zLabs, phần mềm độc hại xuất hiện trong mắt người dùng dưới dạng một ứng dụng cập nhật hệ thống (System Update) trong khi đó âm thầm khai thác dữ liệu người dùng. Dù vậy, cũng cần lưu ý rằng phần mềm độc hại này được tìm thấy ở một kho ứng dụng bên thứ ba chứ không phải trên Google Play Store.
Một khi được cài đặt, thiết bị của nạn nhân sẽ được đăng ký với một máy chủ “ra lệnh và kiểm soát” (command-and-control, hay C2) trên Firebase. Máy chủ này được sử dụng để ra lệnh trong khi đó một máy chủ C2 riêng biệt khác được sử dụng để quản lý các dữ liệu mà phần mềm độc hại lấy trộm được, theo ZDNet.
Nhóm các nhà nghiên cứu nói rằng dữ liệu bắt đầu được khai thác ngay khi một điều kiện được đáp ứng. Các điều kiện này bao gồm một tương tác với điện thoại mới, một ứng dụng mới được cài đặt hoặc điện thoại nhận được một tin nhắn SMS.
Được biết, phần mềm độc hại này thuộc dạng Remote Access Trojan (RAT) và có khả năng lấy trộm dữ liệu GPS cũng như thông tin tin nhắn SMS, danh bạ, nhật ký cuộc gọi, các file video và hình ảnh, đánh dấu trang và lịch sử duyệt web và một số loại thông tin khác. Điều đáng ngại là nó thậm chí có thể chiếm quyền điều khiển camera điện thoại để chụp hình.