Tháng 4 năm 2020, các nhà nghiên cứu bảo mật của MalwareHunter Team đã tìm ra một phần mềm gián điệp (spyware) có khả năng lẩn trốn rất tốt. Ngay cả phần mềm diệt virus đình đám như VirusTotal cũng hiếm khi tìm ra spyware này. Kiểm tra mã của spyware này, các chuyên gia xác định được nó là sản phẩm của nhóm hacker APT-C-23.
Hai tháng sau, MalwareHunter Team tìm thấy phiên bản mới của spyware này ẩn trong tập tin cài đặt của các ứng dụng nhắn tin như Telegram trên kho ứng dụng DigitalApps. Đây là một kho ứng dụng của bên thứ ba, không được kiểm soát bởi Google.
Tiếp tục điều tra, MalwareHunter Team phát hiện ra spyware này cũng xuất hiện trong các ứng dụng khác trên DigitalApps. Các ứng dụng này bao gồm Threema và AndroidUpdate. Trong khi Telegream và Threema là hai ứng dụng nhắn tin bảo mật thì AndroidUpdate giả mạo một bản cập nhật cho hệ thống Android.
Với Telegram và Threema, người dùng vẫn sẽ nhận được đầy đủ các chức năng của ứng dụng nên không có một chút nghi ngờ gì. Bên cạnh đó, giao diện của hai ứng dụng này sẽ được thay đổi một chút để đảm bảo không vi phạm bản quyền.
Nhóm hacker APT-C-23 còn được biết đến với những cái tên khác nhau như BigBang, APT và Two-tailed Scorpion. Nhóm này chuyên phát triển mã độc trên nền tảng Windows và Android, chủ yếu nhắm vào các mục tiêu ở Trung Đông.
Phiên bản spyware mới của APT-C-23 vượt trội hơn hẳn so với các spyware Android trước đây. Nó có thể ghi âm, đánh cắp nhật ký cuộc gọi/SMS/danh bạ và lấy những tập tin cụ thể như PDF, DOC, DOCX, PPT, PPTX, XLS, XLSX, TXT, JPG, JPEG và PNG.
Ngoài ra, nó còn có thêm một loạt chức năng tự bảo vệ ấn tượng. Nó có thể loại bỏ thông báo của các ứng dụng bảo mật trên smartphone Samsung, Xiaomi và Huawei để tránh bị phát hiện.
Hơn nữa, nó có thể đọc thông báo từ các ứng dụng tin nhắn như WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger và Viber. Nhờ vậy, nó có thể đánh cắp tin nhắn một cách hiệu quả. Nó cũng có chức năng ghi lại màn hình bằng cách chụp ảnh hoặc quay video cũng như nghe lén các cuộc gọi đến và đi qua WhatsApp. Một chức năng khác của spyware này là bí mật thực hiện cuộc gọi bằng cách tạo ra một lớp phủ màu đen trên màn hình để trông giống như smartphone đang ở chế độ không hoạt động.
Các chuyên gia bảo mật khuyên người dùng không nên cài ứng dụng từ các kho ứng dụng của bên thứ ba hoặc ứng dụng không rõ nguồn gốc để tránh bị nhiễm spyware nguy hiểm này.