Blogbejegyzésében a Lookout biztonsági cég olyan trójai vírusként működő hirdetőprogramokra (adware) hívja fel a figyelmet, amelyek népszerű alkalmazásként álcázzák magukat (Candy Crush, Facebook, GoogleNow, Twitter, SnapChat, WhatsApp és sok más), és telepítésükkor automatikusan, a felhasználó tudta nélkül rootolják a mobil eszközt, rendszer alkalmazásként ágyazva be magukat, amelyet aztán szinte lehetetlen eltávolítani. Ugyanis az egyszerű letelepítés (uninstall) esetükben nem használható, így a pórul járt felhasználónak nincs más választása, mint a telefon gyártójával töröltetni a tárolót (a mobil alaphelyzetbe állítása nem segít a gondon) vagy egy új okostelefont vásárolni. A dolog érdekessége, hogy a Lookout megállapítása szerint az álcázásként használt appok jó része rendeltetésszerűen működik, miközben rosszindulatú tevékenységet is végez.
Ahogy az általában lenni szokott, a fertőzött appokat a nem hivatalos alkalmazás áruházakból lehet összeszedni, és a rosszindulatú alkalmazások ugyanazokat a sérülékenységeket használják ki, mint a mobiltulajdonosok androidos eszközük rootolásakor.
A Lookout kutatói három új adware - valójában trójai - családot fedeztek fel, amelyek több mint 20 ezer appba fészkelték be magukat, köztük az Okta kétfaktoros hitelesítést végző alkalmazásába. A többiekhez hasonlóan a Shuanet is rootolja a megfertőzött eszközt, és a rendszer könyvtárban rejtőzködik; a Kemoge, vagy más néven ShiftyBug ugyancsak rootolja a telefont, és egy másik alkalmazást telepít, míg a harmadik kártevőt Shedun vagy GhostPush néven azonosítják a biztonsági cégek. A trójaikkal a Google Play áruház és lokalizált változatai legnépszerűbb appjait fertőzik meg a hackerek, amelyeket aztán a nem hivatalos alkalmazás áruházakba töltenek fel. A legtöbb fertőzést az Egyesült Államokban, Németországban, Iránban, Oroszországban, Indiában, Jamaicában, Szudánban, Brazíliában, Mexikóban és Indonéziában észlelték. A három kártevőcsalád egyes változatai 71-82 százalékban hasonló kódot tartalmaznak a Lookout kutatói szerint. Ráadásul a megtámadott eszköz rootolásához mindegyik ugyanazokat a nyilvánosan elérhető kihasználó kódokat veszi igénybe.
A kutatók véleménye szerint az új típusú, trójaivá tett adware-ek idővel egyre fejlettebbek lesznek, jobban elrejtőznek majd, és lehetővé teszik további rosszindulatú programok számára, hogy olvasási és írási jogokat szerezzenek a megfertőzött eszközökön.