Nem a gyártók, hanem egy harmadik fél telepítette a kémprogramokat a Németországban forgalomba került készülékekre a G Data szerint, mely lehetett gyakorlatilag bárki, akinek a kezén a készülék keresztülment, amíg eljutott a vásárlókhoz. A biztonsági cég elsősorban a terméktámogatásra beérkező bejelentésekből értesült a visszaélésekről, de több esetben a saját szakértői bukkantak a kártevőkre.
Teljesen úgy működnek, mint az eredetiek a manipulált alkalmazások. A kártevőt tartalmazó Facebook app esetében például minden funkció elérhető, a felhasználó nem vesz észre semmit abból, hogy az alkalmazásban elrejtett kémprogram hátsó ajtót nyitott a mobilján a bűnözőknek, akik így hozzáférhetnek az összes adatához. Az alkalmazás pedig nem kér engedélyeket, mivel már minden szükséges engedélyt megkapott a telepítésekor. A felhasználó így kizárólag akkor veszi észre, hogy a telefonja fertőzött, ha telepít egy olyan biztonsági alkalmazást, mint a G Data androidos vírusirtója.
Több mint húsz különböző típusú kínai okostelefonon találtak előre feltelepített kémprogramokat. A G Data tavaly már bejelentette, hogy a Star N9500-as kínai mobiltelefonon előre telepített kémprogramot fedezett fel. A cég szakértői mára összesen 26 különböző okostelefon-típuson találtak hasonló kártevőt, mely jellemzően a Facebook vagy a Google Drive alkalmazások egyikébe volt elrejtve. A legismertebb készüléktípusok ezek közül a Lenovo S860, a Xiaomi MI3 és a Huawei G510.
