Je to zajímavý aspekt pro spyware, který by měl obvykle zůstat skrytý před svou obětí, zejména když se jedná o práci sofistikované skupiny APT (pokročilá perzistentní hrozba).
Po získání povolení spyware odstraní svou ikonu a běží na pozadí pouze s trvalým upozorněním na jeho přítomnost.
Informace shromážděné zařízením, včetně seznamů, protokolů, SMS, nahrávek a upozornění na události, jsou odesílány ve formátu JSON na server příkazů a řízení na IP adrese 82.146.35[.]240, která se nachází v Rusku.
Metoda, jakou se malware distribuuje, není známá, ale pokud jej používá Turla, je pravděpodobné, že používají metody sociálního inženýrství, phishingu, zalévání atd. Aplikace, která byla zkoumána týmem Lab52, stahovala další užitečná zatížení a objevil se i případ aplikace stažené přímo z Obchodu Play s názvem „Roz Dhan: Vydělávejte peníze v peněžence“. Tato aplikace má vysoké množství stažení (10 000 000) a využívá systému doporučení k vydělávání peněz. Celá situace je podezřelá a naznačuje, že útočníci se snaží získat přístup k informacím nebo dokonce k finančním účtům uživatelů.
Zdá se, že spyware stáhl soubor APK pomocí systému doporučení aplikace a získal pravděpodobně provizi. Tato taktika se obvykle používá k zatajení stopy a může být součástí sdílené infrastruktury. Navzdory tomu, že státní aktéři někdy používají tuto taktiku, je pravděpodobné, že použití zpeněžení založeného na zprostředkování a nízká sofistikovanost malwaru znamenají, že se nejedná o práci národního státního aktéra jako Turla.
Výzkumníci z Lab52 vysvětlují, že přestože nelze Turlu připisovat k tomuto malware, chtějí se s uživateli zařízení s Androidem podělit o svou analýzu schopností tohoto škodlivého softwaru. Doporučují uživatelům, aby si kontrolovali povolení aplikací, což by mělo být snadné ve verzích od Androidu 10 a novějších, a odvolali ta, která se zdají být příliš riziková.
Také upozorňují, že od verze Androidu 12 se signálizuje aktivita kamery nebo mikrofonu, což může pomoci odhalit skrytý spyware. Tyto nástroje jsou obzvláště nebezpečné, pokud jsou vloženy do IoT s staršími verzemi Androidu, a mohou generovat příjmy pro své vzdálené operátory po dlouhou dobu, aniž by si někdo uvědomil, že bylo zařízení kompromitováno.