Pode rastrear a localização e as ações do utilizador e executar códigos a partir do seu servidor de Comando & Controlo sem a permissão do dono do terminal. A equipa de investigadores de ameaças móveis da Check Point descobriu esta nova ameaça e contactou a equipa de segurança da Google, que eliminou a app.

A atividade maliciosa começa quando o adware deteta uma ação por parte do utilizador, como abrir uma aplicação. Além disso, verifica a existência de várias condições antes de se iniciar, como por exemplo se não há algum depurador ou hardware de emulação conectado, ou que a aplicação tenha sido instalada a partir do Google Play. Faz isto para evitar a ação dos investigadores e os seus métodos de proteção. Uma vez iniciado, o malware envia para o servidor C&C dados sobre o dispositivo, como a sua localização e as aplicações abertas. O centro de controlo, por sua vez, envia anúncios maliciosos que apresenta então no terminal infetado.

O Skinner utiliza uma estratégia avançada para se assegurar de que o utilizador não está consciente de que está a visualizar publicidade fraudulenta, o que aumenta a probabilidade de que clique nos anúncios. Em vez de simplesmente mostrar banners ou pop-ups, o malware comprova que tipo de aplicação está a ser usada num dado momento e mostra o anúncio adequado. Este é um comportamento completamente novo para um adware para dispositivos móveis, embora já tenha sido visto malware bancário que atuava desta forma. Prevê-se que este tipo de "marketing" adaptado cresça de forma drástica nos próximos meses. As quatro categorias de apps que descarrega são de navegação GPS, de chamadas, de utilitários e de browsers web.

Esta tática é única e bastante inovadora. Enquanto outros adwares se baseiam na propagação massiva para gerar grandes lucros, o Skinner consegue as mesmas quantias em receitas infetando menos utilizadores, minimizando assim o risco de as empresas de segurança o detetarem. Quanto menor é a propagação de um malware, mais pequena será a probabilidade de dispararem os alarmes e serem realizadas inspeções de segurança.

O Skinner utiliza a ocultação personalizada, uma nova e elaborada tática que o torna quase indetetável. Apesar de não ter realizado nenhum ataque a grande escala, demostra uma vez mais que não se deve confiar na segurança das apps disponíveis nas lojas oficiais.

A Check Point acredita que este modus operandi será adotado e aperfeiçoado por outras famílias de adware num futuro próximo, melhorando os seus métodos de evasão. Isto colocará em perigo os utilizadores de todo o mundo, que necessitarão de ferramentas de segurança avançada nos telefones para estarem completamente protegidos.