ESET identifikoval 12 špionážnych aplikácií pre Android, ktoré zdieľajú rovnaký škodlivý kód, pričom šesť z nich bolo dostupných aj na obchode Google Play. Všetky aplikácie sa vydávali za nástroje na zasielanie správ, okrem jednej, tá sa vydávala za spravodajskú aplikáciu. Tieto aplikácie na pozadí tajne spúšťajú malvér, trójsky kôň pre vzdialený prístup s názvom VajraSpy, ktorý používa na cielenú špionáž APT skupina Patchwork. Na základe analýzy ESET-u útočníci pravdepodobne použili romantické pasce, aby obete nalákali na inštaláciu škodlivého softvéru. Podľa dostupných údajov boli škodlivé aplikácie, ktoré boli k dispozícii v službe Google Play, stiahnuté viac ako 1 400-krát.