Chạy một mã độc bên trong- mà Lookout tạm gọi là Overseer - các ứng dụng này có thể theo dõi tọa độ vị trí của người dùng và thu thập thông tin về những đối tác mà người dùng gửi email, thậm chí là ID mạng, bộ nhớ bên trong và bên ngoài, loại điện thoại, mạng di động đang chạy trên điện thoại, thông tin thiết bị và Android như số IMEI, IMSI, MCC, MNC và chi tiết về các gói cài đặt.
"Thông tin này là vô cùng có giá trị cho một kẻ tấn công muốn tìm ra nơi mà một người và người đó đang nói chuyện với những ai," Kristy Edwards, giám đốc sản phẩm nghiên cứu bảo mật tại Lookout nói.
Một trong những ứng dụng này, gọi là Embassy, hoạt động như quảng cáo trên Play Store, cho phép người dùng tìm kiếm đại sứ quán nước mình tại các thành phố nước ngoài. Trong khi đó, nó bật các tính năng dẫn đường trên điện thoại của người sử dụng và truy cập, lấy ra các danh sách liên hệ email được lưu trữ trên máy chủ qua tài khoản Facebook và Amazon.
Các ứng dụng khác được quảng cáo như là các ứng dụng tin tức nhưng thực sự chúng không làm việc. Tuy nhiên, chúng cũng chứa Overseer.
Theo một phát ngôn viên của Lookout, Google đã gỡ bỏ các ứng dụng này khỏi Play Store. Google cũng đã xác nhận việc loại bỏ các ứng dụng này nhưng từ chối bình luận thêm.
Bà Edwards nói bà không thể suy đoán về người đã tạo ra Overseer. Bà cho biết, phần mềm độc hại này sử dụng một kỹ thuật mới để tránh bị phát hiện.
Thông thường, phần mềm độc hại cho thấy sự kiểm soát hệ thống của nó bằng cách gửi dữ liệu đến một máy chủ ngẫu nhiên trong một quốc gia nước ngoài. Thực tế là Overseer đã gửi thông tin người dùng với một tài khoản qua dịch vụ Facebook, khiến mọi thứ trông rất hợp lý.