A Dr. Web kutatói szerint az új trójai program egy szokatlan megközelítést alkalmaz: a Google nyílt forráskódú TensorFlow.js könyvtárára építve gépi tanulási modelleket futtat, amelyek képesek felismerni a játékokon és alkalmazásokon belül megjelenő hirdetéseket, majd automatikusan interakcióba lépni velük. A cél egyértelmű: mesterségesen felpumpálni a kattintások számát, ezzel növelve a hirdetésekből származó bevételt.
A kártevő különösen veszélyes abból a szempontból, hogy képes alkalmazkodni a dinamikusan változó, eltérő formátumú reklámokhoz. A gépi tanulás segítségével elemzi a képernyőn megjelenő tartalmat, és felhasználói beavatkozás nélkül "kattint" a hirdetésekre. Egyes esetekben úgynevezett "fantom" módban egy rejtett böngészőablakot is megnyit, amelyben láthatatlanul futtatja le a hirdetési interakciókat.
Amikor az automatikus modellek nem működnek megfelelően, a támadók vagy az érintett fejlesztők akár távolról is átvehetik a képernyő irányítását. Ilyenkor manuálisan görgetnek vagy érintenek meg elemeket egy "signaling" nevű technikával, ami gyakorlatilag lehetővé teszi, hogy emberi beavatkozással folytassák a csalást.
A jelentés szerint több érintett játék is terjedt a Xiaomi GetApps alternatív alkalmazásboltban, és mindegyik egyetlen fejlesztőhöz, a Shenzhen Ruiren Network Co. Ltd.-hez köthető. A fertőzött címek között olyan játékok szerepelnek, mint a Creation Magic World, a Cute Pet House, az Amazing Unicorn Party, a Sakura Dream Academy, a Theft Auto Mafia és az Open World Gangsters. Ezek mellett kalóz APK-oldalakon, például az Apkmody és a Moddroid felületein, valamint Telegram-csatornákon is terjednek, gyakran módosított Spotify- vagy Netflix-alkalmazásokként álcázva.
Bár a hirdetési csalás önmagában nem okoz azonnali kárt a felhasználóknak, a szakértők szerint a kártevő valódi veszélye abban rejlik, hogy távoli hozzáférést biztosíthat a készülékhez. Ez adatlopásra, további kártevők terjesztésére vagy más felhasználók elleni támadások indítására is alkalmas lehet.
A Google közlése szerint jelenlegi információik alapján a fertőzött alkalmazások nem találhatók meg a hivatalos Play Áruházban, és a Play Protect alapértelmezetten védi az androidos eszközöket az ismert változatok ellen, még akkor is, ha az appok külső forrásból származnak. Ennek ellenére a szakértők azt javasolják, hogy a felhasználók kerüljék az ismeretlen APK-forrásokat, és különösen legyenek óvatosak az alternatív alkalmazásboltokból származó, ingyenes játékokkal és "modolt" appokkal.