104 приложения, содержащих новую троянскую программу, которая шпионит за пользователями и демонстрирует им рекламные объявления, были выявлены в магазине приложений Google. В общей сложности зафиксировано более 3200000 загрузок зараженных приложений.
Специалисты Dr.Web, обнаружившие троянскую программу, присвоили ей название Android.Spy.277. В перечне приложений, которые были заражены Android.Spy.277, присутствует графический редактор, мессенджеры и игры. Практически все вредоносные приложения являются копиями популярных программ.
При запуске одного из инфицированных приложений троянская программа осуществляет подключение к командному серверу, на который она пересылает название зараженного приложения, адрес электронной почты, привязанный к учетной записи в Google, IMEI-идентификатор, телефонный номер, MAC-адрес, сведения о местоположении пользователя, информацию об операторе связи, типе подключения к сети, подтипе сети, версии системы, модели устройства, разрешении дисплея и типе процессора. Также злоумышленники получают от троянской программы параметр user_agent, сгенерированный в соответствии с определенным алгоритмом, и могут проверить наличие прав администратора у инфицированного приложения.
После передачи информации операторам программа переходит в режим ожидания дальнейших команд. Android.Spy.277 может демонстрировать рекламные баннеры, либо растянутые на весь экран, либо в виде всплывающего уведомления. Помимо этого, троянская программа может добавлять на рабочий стол ярлыки, содержащие ссылку на страницу приложения в Google Play.