Esta nova framework transforma as aplicações em spyware com enormes capacidades de vigilância, sendo parte de uma campanha de espionagem. De entre estas capacidades de vigilância, inclui-se a gravação de chamadas de telemóvel, monitorização de mensagens, roubo de fotos e vídeos, captura de dados de localização.

O malware é extremamente perigoso, porque está muito bem disfarçado. O que realmente contém é um payload denominado Triout com enormes capacidades de vigilância e que rouba dados dos users, enviando-os para um servidor C&C (Command and Control), controlado pelo atacante.

Capacidades do malware:

- Gravação de todas as chamadas telefónicas em forma de ficheiro multimédia, e envio das mesmas para um servidor C&C remoto.

- Gravação de todas as mensagens para o servidor

- Envio de todos os logs de chamadas para o servidor

- Envio de todas as fotos e vídeos para os atacantes sempre que o user saque um print ou grave um vídeo, tanto com a câmara frontal como traseira

- Capacidade de se esconder no dispositivo infetado.

O mais curioso é que este malware não usa qualquer ofuscação, o que permite ter acesso ao seu código fonte através da análise do ficheiro .apk.

Como se proteger:

- evitar fazer download de apps maliciosas e apenas sacar aquelas de fontes conhecidas e confiáveis como a Play Store da Google, e todos os desenvolvedores categorizados como sendo de confiança

- Pensar duas vezes no momento de conceder permissões à app para ler mensagens, aceder aos logs de chamadas, coordenadas de GPS e outros dados contidos nos sensores do Android.