Tệp tin thực thi độc hại có khả năng thêm trình theo dõi thao tác bàn phím (key-logger) vào hệ thống Windows. Các nhà nghiên cứu cũng nghi ngờ rằng chính những người phát triển ứng dụng đã vô tình tiếp tay cho kẻ xấu bằng việc viết ứng dụng trên hệ thống Windows bị nhiễm độc. Tuy nhiên, cùng một tác giả nhưng có ứng dụng bị nhiễm độc, có ứng dụng không. Vì vậy, nhà phát triển ứng dụng có thể đã sử dụng nhiều môi trường và hệ thống khác nhau.
Các tệp tin .apk độc hại không ảnh hưởng tới thiết bị Android, vì chúng chỉ chạy trên hệ điều hành Windows nên khi tải về trên Android thì không có tác dụng. Việc các tệp tin .apk bị nhiễm độc chứng tỏ nhà phát triển ứng dụng đã sử dụng hệ điều hành Windows chứa phần mềm độc hại.
Trình theo dõi thao tác bàn phím bị nhúng vào các ứng dụng độc hại có thể ghi lại thao tác bàn phím trên hệ thống Windows, bao gồm những thông tin nhạy cảm như số thẻ tín dụng, số thẻ căn cước công dân và các loại mật khẩu. Những tệp tin thực thi độc hại có tên giả như Android.exe, my music.exe và gallery.exe,… khiến người dùng không nghi ngờ.
Một khi được tải về, tệp tin thực thi độc hại tự khởi chạy có thể tiến hành các thao tác trên hệ thống Windows như tạo tệp tin thực thi và tệp tin ẩn trong Windows, đổi chế độ của thiết bị thành tự khởi chạy sau khi khởi động lại và thực hiện kết nối mạng tới địa chỉ IP 87.98.185.184 thông qua cổng 8829.
Một số ứng dụng bị ảnh hưởng bao gồm ứng dụng dạy vẽ và thiết kế quần áo (Learn to Draw Clothing), ứng dụng ảnh về ý tưởng độ xe đạp địa hình (Modification Trail), ứng dụng gợi ý các bài tập thể dục và chăm sóc sức khỏe (Gymnastics Training Tutorial),…
Mặc dù các tệp thực thi độc hại này không thể chạy trực tiếp trên Android, nhưng chúng vẫn là mối nguy hiểm cho chuỗi cung ứng phần mềm và các nhà phát triển phần mềm trên hệ điều hành Windows. Các nhà phát triển ứng dụng đã trở thành mục tiêu của nhiều cuộc tấn công diện rộng, trong đó có cuộc tấn công KeRanger, XcodeGhost và chiến dịch NotPetya.
Hầu hết ứng dụng bị nhiễm độc được tung ra thị trường từ tháng 10 đến tháng 11/2017, có nghĩa là các ứng dụng đã tồn tại hơn nửa năm. Một vài ứng dụng có hơn 1000 lượt tải và đánh giá 4 sao. Những ứng dụng này đã bị gỡ khỏi cửa hàng ứng dụng Google Play và Google không bình luận gì về vụ việc này.
Tổng hợp (theo SecurityBox