McAfee cho biết qua khảo sát các ứng dụng gián điệp này, họ phát hiện ra rằng Triều Tiên sử dụng nó để do thám những người đào tẩu sang Hàn Quốc.
Khi ứng dụng gián điệp được tải xuống và cài đặt, nó sẽ sao chép danh bạ, ảnh và tin nhắn từ thiết bị của người dùng, và gửi những dữ liệu này cho hacker ở Triều Tiên.
Trong số 3 ứng dụng độc hại, một ứng dụng ngụy trang dưới dạng cung cấp thông tin thực phẩm. Nó có tên là Food Ingredents Info. Hai ứng dụng khác liên quan đến bảo mật và được đặt tên là Fast AppLock và AppLockFree.
Nhóm hacker phát tán 3 ứng dụng độc hại này được cho là nhóm “RedDawn” (Bình minh Đỏ) của Triều Tiên. Nhóm này cố gắng tiếp cận các mục tiêu qua Facebook, dụ dỗ họ mở các ứng dụng mà chúng nói rằng “chưa được phát hành”. Khi điện thoại hoặc máy tính bảng bị nhiễm độc, nó sẽ nhận lệnh và tải dữ liệu lên dịch vụ lưu trữ Dropbox và Yandex của Nga.
McAfee nói rằng vụ phát tán phần mềm độc hại này tương tự như một vụ mà họ đã phát hiện hồi tháng Giêng từ một nhóm hacker của Bắc Hàn có tên là “Đội Mặt trời”. Các dấu vết mà McAfee phát hiện trên DropBox và Yandex đến cùng một thiết bị mà “Đội mặt trời” sử dụng trong chiến dịch trước đó. Ngoài ra, các địa chỉ email của người viết phần mềm độc hại cũng giống với địa chỉ của các thành viên đội hacker Triều Tiên.