Được thiết kế nhằm giả mạo các ứng dụng như Pakistan Citizen Porta l, Pakistan Salat Time, Mobile Packages Pakistan, Trình kiểm tra SIM đã đăng ký và Bảo hiểm TPL, các biến thể độc hại được phát hiện làm xáo trộn hoạt động của chúng để bí mật tải xuống một payload dưới dạng tệp thực thi Android Dalvik (DEX).

Các nhà nghiên cứu về mối đe dọa của Sophos, Pankaj Kohli và Andrew Brandt cho biết: “DEX chứa hầu hết các tính năng độc hại, bao gồm khả năng lấy cắp dữ liệu nhạy cảm một cách bí mật như danh sách liên hệ của người dùng và toàn bộ nội dung của tin nhắn SMS. Sau đó, ứng dụng sẽ gửi thông tin này đến các trang web điều khiển và chỉ huy được lưu trữ trên các máy chủ đặt ở Đông Âu".

Điều thú vị là trang web giả mạo cổng thông tin công dân Pakistan cũng được hiển thị nổi bật dưới dạng hình ảnh tĩnh trên trang web của Tổng công ty Thương mại Pakistan (TCP), điều đó nhằm loại bỏ sự nghi ngờ và thu hút người dùng tải xuống ứng dụng có chứa phần mềm độc hại.

Bên cạnh các ứng dụng nói trên, các nhà nghiên cứu của Sophos cũng phát hiện ra một ứng dụng riêng biệt có tên là Pakistan Chat được phân phối qua Cửa hàng Google Play. Ứng dụng này tận dụng API của một dịch vụ trò chuyện hợp pháp có tên ChatGum. Sau khi được cài đặt, ứng dụng yêu cầu các quyền xâm nhập, bao gồm khả năng truy cập danh bạ, hệ thống tệp, vị trí, micrô và đọc tin nhắn SMS cho phép nó thu thập nhiều dữ liệu trên thiết bị của nạn nhân.

Tất cả các ứng dụng này đều có mục đích thực hiện giám sát bí mật và lấy dữ liệu từ thiết bị mục tiêu. Ngoài việc gửi số nhận dạng IMEI duy nhất, DEX payload chuyển tiếp thông tin hồ sơ chi tiết về điện thoại, thông tin vị trí, danh sách liên hệ, nội dung tin nhắn văn bản, nhật ký cuộc gọi và danh sách thư mục đầy đủ của bộ nhớ trong thiết bị hoặc thẻ SD.

Không may mắn, ứng dụng Cổng thông tin công dân Pakistan độc hại đã đánh cắp thông tin nhạy cảm như số chứng minh nhân dân được số hoá của người dùng, chi tiết hộ chiếu, tài khoản Facebook và các tài khoản khác. 

Pankaj Kohli nói: “Khả năng do thám và giám sát bí mật của các ứng dụng Android được sửa đổi này đã cho thấy sự nguy hiểm của phần mềm gián điệp đối với người dùng điện thoại thông minh ở khắp mọi nơi. Những kẻ tấn công nhắm mục tiêu vào điện thoại di động không chỉ có được các thông tin nhạy cảm và cá nhân, mà chúng còn cung cấp một cửa sổ thời gian thực về cuộc sống của mọi người, vị trí thực tế, chuyển động của họ và thậm chí cả các cuộc trò chuyện trực tiếp diễn ra trong phạm vi nghe của điện thoại đã bị xâm phạm".

Các nhà nghiên cứu kết luận: "Trong hệ sinh thái Android hiện tại, các ứng dụng được ký mã hóa để chứng nhận nó bắt nguồn hợp pháp, ràng buộc ứng dụng với nhà phát triển của nó. Tuy nhiên, Android không hiển thị cho người dùng biết khi chứng chỉ của ứng dụng đã ký không hợp pháp hoặc không xác thực. Do đó, người dùng không có cách đơn giản nào để biết liệu một ứng dụng có thực sự được cung cấp bởi nhà phát triển chính hãng của nó hay không. Điều này cho phép các tác nhân đe dọa phát triển và đưa ra phiên bản giả mạo của các ứng dụng phổ biến. Sự tồn tại một số lượng lớn các cửa hàng ứng dụng và quyền tự do cài đặt ứng dụng của người dùng từ mọi nơi khiến việc chống lại các mối đe dọa trở nên khó khăn hơn."

Người dùng cần phải dựa vào các nguồn đáng tin cậy để tải xuống các ứng dụng của bên thứ ba. Đồng thời, xác minh xem ứng dụng có thực sự được tạo bởi nhà phát triển chính hãng hay không và xem xét kỹ các quyền của ứng dụng trước khi cài đặt.