Viena iš pirmųjų programėlių, kurioms pavyko įsibrukti į „Google Play“ parduotuvę, anot kibernetinio saugumo ekspertų „Lookout“, buvo „Soniac“. Iki jos pašalinimo, „Google“ duomenimis, programėlė surinko tarp 1000 ir 5000 atsisiuntimų. Vartotojui buvo pateikiama informacija, kad programėlė teikė žinučių siuntimo per modifikuotą „Telegram“ platformą paslaugą. Tuo tarpu užkulisiuose „Soniac“ nuolat įrašinėjo garsą, galėjo priimti ir inicijuoti balso skambučius, siuntinėti trumpąsias žinutes, turėjo prieigą prie skambučių žurnalo ir informacijos apie „Wi-Fi“ prieigos taškus. Po to, kai „Lookout“ informavo apie programėlės piktybinius elementus, „Google“ pašalino ją iš parduotuvės.
Dar dvi programėlės – „Hulk Messenger“ ir „Troy Chat“ – taip pat buvo „Google Play“ parduotuvėje iki „Lookout“ tyrimo rezultatų paviešinimo. Tiesa, šiuo atveju nėra žinoma, ar jos dingo dėl „Google“ veiksmų, ar jas pašalino patys programėlių kūrėjai. Kitos programėlės, kurių kiekis nuo vasario mėnesio peržengė 4000, yra platinamos kitokiais būdais – alternatyviose programėlių parduotuvėse ar siuntinėjant žinutes su atsisiuntimo nuorodomis. Visos šios programėlės priklausė didžiulei piktybinės programinės įrangos šeimai, pavadintai „SonicSpy“.
„Visoms „SonicSpy“ šeimos programėlėms būdinga tai, kad patekusios į įrenginį jos siunčia signalą valdymo tarnybinėms stotims ir laukia instrukcijų iš valdytojo – valdytojas gali pateikti vieną iš 73 palaikomų komandų. Tokio funkcionalumo įdiegimo būdas yra išskirtinis visos „SonicSpy“ šeimos bruožas“, – tinklaraštyje rašė „Lookout“ atstovas Michaelas Flossmanas.
Įdiegus šios šeimos programėles jos nedelsiant ištrina savo paleidimo piktogramą taip slėpdamos savo egzistavimą, o tuomet užmezga ryšį su valdymo serveriu arshad93.ddns.net, naudojant prievadą nr. 2222.
Kibernetinio saugumo ekspertas nurodė „SonicSpy“ panašumą su kita piktybinių programėlių šeima – „SpyNote“, apie kurią praėjusiais metais savo ataskaitą išplatino kita kibernetinio saugumo bendrovė „Palo Alto Networks“. Šios programėlės kūrėjo paskyros pavadinimas (iraqwebservice) ir keletas programėlių kode rastų elementų leido įtarti, kad programėlės kūrėjai yra iš Irako. Be to, į šią šalį rodo ir daugybė „SonicSpy“ domenų infrastruktūros kreipinių. Nuolat į akis krenta frazė „Iraqian Shield“. „Lookout“ ir toliau tyrinėja skaitmeninius įkalčius bei aiškinasi, ar tikrai grėsmė atkeliavo iš šios šalies.
Ir nors „Lookout“ ataskaita dar kartą pabrėžia, kad diegtis programėles iš neaiškių šaltinių yra labai pavojinga, taip pat būtina atkreipti dėmesį į tai, kad diegimasis iš „Google Play“ negarantuoja, kad programėlė yra saugi. Viena iš nedaugelio santykinai gerą saugumą užtikrinančių neoficialių „Android“ programėlių parduotuvių priklauso „Amazon“. Be to, vartotojai raginami prieš diegiantis bet kokią programėlę įvertinti jos praktinę naudą – ypač, jeigu tos programėlės atsisiuntimų kiekis yra labai nedidelis.