Les applications en question ont été retirées du Google Play Store suite à une alerte donnée par la société de cybersécurité Lookout spécialisée dans le mobile. C'est également à elle que l'on doit la découverte du logiciel espion Pegasus exploitant la faille Trident dans iOS.

Les applications infectées semblaient viser des voyageurs en quête d'informations sur des ambassades à l'étranger, et pour des actualités russes et européennes. Une d'elles s'appelait Embassy et une autre Europe News.

Selon Lookout, les applications contenaient un spyware baptisé Overseer capable de communiquer via HTTPS avec un serveur de commande et contrôle utilisant Parse Server (Facebook) et hébergé sur Amazon Web Services.

Embassy
Overseer peut collecter et exfiltrer un grand nombre d'informations personnelles (adresse email, numéro de téléphone, données de localisation, données techniques sur l'appareil...) et peut déterminer si un appareil a été rooté.

Même si l'analyse du code montre que Overseer est susceptible de pouvoir mener des actions malveillantes, Lookout n'en a pas constatées. Cela a pu jouer pour tromper les systèmes de détection de Google avant publication dans le Play Store, de même que le fait de s'appuyer sur une connexion HTTPS vers ce qui semblait être un serveur Parse de confiance.

Dans son dernier rapport annuel Android Security, Google indique qu'en 2015, moins de 0,15 % des appareils Android ont été concernés par l'installation d'une application potentiellement malveillante lorsque celle-ci est téléchargée depuis le Google Play Store.