Сообщается, что источником вредоносного функционала обладает популярная игра Cowboy Adventure. Примечательно, что приложение было скачано от 500 000 до 1 млн раз. Кроме того, игра того же разработчика Jump Chess также обладает вредоносным функционалом.
Приложения соответствуют своим описаниям, но помимо этого используются создателями для кражи персональных данных. Их анализ показал, что они написаны на С# с использованием среды Mono Framework. Вредоносный код располагается в библиотеке TinkerAccountLibrary.dll.
При запуске приложений пользователю предлагается ввести логин и пароль от Facebook-аккаунта в специальную форму. Информация передается на удаленный сервер атакующих через защищенное НТТРS-соединение.
В настоящее время вредоносные программы изъяты из Google Play. На момент удаления в магазине приложений была доступна версия 1.3 игры Cowboy Adventure, опубликованная 16 апреля 2015 года. Менее популярное приложение Jump Chess было доступно с 14 апреля 2015 года и набрало от 1 до 5 тыс. установок.
Доподлинно установить, сколько аккаунтов Facebook было скомпрометировано, в настоящее время невозможно. Известно, что не все пользователи, установившие игры, скомпрометировали свои учетные данные. Об этом свидетельствуют негативные комментарии на страницах приложений в Google Play.