Зараженные приложения представляли собой преимущественно точные копии легитимных программ, которые уже существуют и пользуются достаточно большой популярностью среди владельцев мобильных гаджетов. К их числу относятся такие продукта, как мобильные игры, фоторедакторы, сканеры QR-кодов и более простые приложения вроде компаса. Несколько зараженных приложений прежде чем их выявили и приняли решение удалить, были скачаны и установлены более 10 тысяч раз, но есть и такие, которые скачали более 50 000 раз.
О возникшей в Play Store проблеме заявили специалисты из Zscaler. После подробного изучение зараженных приложений они пришли к выводу, что такие сервисы обманным способом вынуждали пользователей предоставить им права администратора. Благодаря им злоумышленники получали расширенные возможности для демонстрации рекламы. Например, они могли разворачивать рекламные изображения на весь экран, автоматически открывать рекламные ссылки в браузере или же запускать на YouTube в автоматическом режиме какое-нибудь видео. Кроме всего этого зараженные приложения также получали доступ ко всем остальным сервисам, чтобы на их домашние экраны тоже добавлять ссылки с рекламным контентом.
Как удалось выяснить в ходе подробного изучения, все зараженные приложения создавались на основе настоящего кода легитимной программы. Вероятнее всего, такие коды похищались или же покупались у хакеров, которым удалось их раздобыть. Например, анализ вредоносного приложения с пакетом com.ndk.taskkiller показал, что оно является точной копией настоящего приложения Battery Saver HD and Task Killer, однако пиратская версия содержит в себе некоторые изменения. В частности, в поддельном приложении имеется вредоносный код, который позволяет осуществлять связь с C&C-сервера, контролируемого злоумышленниками.
Чтобы обойти все проверки, которым подвергаются приложения, загружаемые на Play Store, вредоносный код внедрялся непосредственно в пакет для Google Mobile Services, а это значит, что его было намного сложнее обнаружить. При этом для защиты своего вредоносного кода использовалось довольно простое шифрование.