Mã độc này có tên Lipizzan và nó được phỏng đoán được phát triển bởi Equus Technologies, một công ty khởi nghiệp của Israel. Công ty này được biết đến là một công ty tư nhân chuyên phát triển các giải pháp sáng tạo cho các cơ quan thực thi pháp luật, cơ quan tình báo và các tổ chức an ninh quốc gia.
Với sự trợ giúp của Google Play Protect - ứng dụng để loại bỏ các ứng dụng nguy hiểm và độc hại trên cửa hàng Google Play, nhóm bảo mật của Google đã tìm thấy phần mềm gián điệp Lipizzan trên ít nhất 20 ứng dụng trong Cửa hàng Google Play và đã lây nhiễm gần 100 điện thoại thông minh Android.
Google đã nhanh chóng chặn và xóa tất cả những ứng dụng có chứa Lipizzan khỏi hệ điều hành Android đồng thời thông báo cho tất cả nạn nhân. Theo các chuyên gia của Google, Lipizzan là một công cụ phần mềm gián điệp tinh vi có thể lấy toàn quyền truy cập vào thiết bị Android mục tiêu theo hai bước.
Đầu tiên, kẻ tấn công phân phối Lipizzan bằng cách giả mạo nó như một ứng dụng hợp pháp vô hại như “Backup” hoặc “Cleaner” thông qua các cửa hàng ứng dụng Android khác nhau, bao gồm cả cửa hàng Google Play chính thức.
Sau khi cài đặt, Lipizzan tự động thực hiện giai đoạn thứ hai, là tải xuống một ứng dụng mã độc để quét toàn bộ thiết bị nhưng đảm bảo thiết bị không thể phát hiện ra hành động bất hợp pháp này.
Sau khi hoàn thành quá trình rà quét mã độc cố gắng truy cập vào thiết bị với quyền quản trị và bắt đầu lọc dữ liệu để gửi cho máy chủ C&C từ xa do những kẻ tấn công kiểm soát.
Phần mềm gián điệp này có khả năng giám sát và lấy cắp email, tin nhắn SMS, ảnh chụp màn hình, ảnh, cuộc gọi thoại, địa chỉ liên hệ, dữ liệu ứng dụng cụ thể, thông tin vị trí và thiết bị. Các ứng dụng có thể bị ảnh hưởng bao gồm: WhatsApp, Snapchat, Viber, Telegram, Facebook Messenger, LinkedIn, Gmail, Skype, Hangouts và KakaoTalk.
Các chuyên gia khuyến cáo người dùng Android cần tự bảo vệ mình bằng các cách sau: Đảm bảo rằng người dùng đã chọn tham gia vào Google Play Protect; Chỉ tải xuống và cài đặt ứng dụng từ Cửa hàng Google Play chính thức; Bật tính năng xác minh ứng dụng từ cài đặt; Bảo vệ thiết bị bằng khóa pin hoặc mật khẩu;; Đảm bảo thiết bị luôn cập nhật các bản vá bảo mật mới nhất.
Hiện tại, mã độc này tạm thời được ngăn chặn và không gây hậu quả quá nghiêm trọng. Song người dùng Internet nên cẩn thận hơn với việc tải và sử dụng các ứng dụng trực tuyến.