בחנות Google Play התגלו שתי רוגלות המתחזות לכלי ניהול קבצים, עם סך של לפחות 1.5 מיליון התקנות. האפליקציות המיוחסות לאותו מפתח התגלו על ידי חברת אבטחת הסייבר Pradeo. האפליקציות מפגינות התנהגויות זדוניות דומות ופועלות ללא אינטראקציה של המשתמש. המטרה העיקרית שלהן היא לחלץ ולהעביר נתוני רגישים של המשתמשים, באופן סמוי לשרתים בסין. הממצאים דווחו לגוגל.
אחת הרוגלות אף ציינה בפרופיל שלה בחנות Google Play שהיא לא אוספת נתוני משתמשים אולם בחברת Pradeo הדגישו כי: "הדיווחים ממנוע ניתוח ההתנהגות שלנו מראים ששתי הרוגלות אוספות נתונים מאד אישיים מהמטרות שלהן, כדי לשלוח אותן למספר רב של יעדים הממוקמים ברובם בסין ומזוהים כזדוניים."
בנוסף לאיסוף מידע אישי ממכשירי המשתמשים כגון רשימות אנשי קשר וקבצי מדיה (קבצי תמונה, אודיו ווידאו), מעבירות האפליקציות את הנתונים הגנובים למספר שרתים זדוניים הממוקמים בעיקר בסין. נפח הנתונים המועבר על ידי הרוגלה מבדיל אותה ממקרים טיפוסיים, שכן כל אפליקציה שולחת את הנתונים הגנובים יותר ממאה פעמים.
כדי למקסם את הצלחתם נוקטים ההאקרים שמאחורי הרוגלה במספר טקטיקות. היישומים מגדילים באופן שקרי את אמינותם על ידי ניפוח מלאכותי של מספר ההתקנות, טכניקה המושגת באמצעות חוות התקנות או אמולטורים של מכשירים ניידים. בנוסף, משתמשות הרוגלות בהרשאות מתקדמות כדי לגרום להפעלה מחדש של המכשיר, מה שמאפשר הפעלה אוטומטית עם אתחול המכשיר, כמו גם טכניקות המקשות על הסרת ההתקנה. אפליקציה יכולה פשוט להסתיר את הסמל שלה מהתצוגה הכללית ושתי הרוגלות משתמשות בטכניקה זו כדי להקשות על הסרת ההתקנה. כדי למחוק אותן צריכים המשתמשים לעבור לרשימת היישומים בהגדרות.
גילוי הרוגלות בחנות Google Play משמש תזכורת למשתמשים ולארגונים לשמור על ערנות, לנקוט באמצעי אבטחה מתאימים ולהגן על המידע הרגיש שלהם מנפילה לידיים הלא נכונות.
