Lookout noemt de malware Monokle en omschrijft het als malware met een aantal specifieke functies. Dat duidt er volgens het bedrijf op dat de malafide software eerder bedoeld is om gericht tegen doelwitten in te zetten, in plaats van grootschalige verspreiding.
Onderzoekers van het bedrijf stellen dat Monokle geavanceerde taken kon uitvoeren zonder de hoogste rechten voor systeembeheer (roottoegang) op het Android-toestel te hebben.
Zo was de malware in staat om een schermopname van de Android-smartphone te maken op het moment dat het toestel ontgrendeld werd, waardoor de pincode zichtbaar wordt.
Ook kon de software telefoongesprekken opnemen, telefoontjes plegen en sms-berichten versturen, de camera en microfoon activeren, informatie uit de agenda van de gebruiker halen, aanslagen op het toetsenbord registreren, de contactenlijst inzien, e-mails ophalen en berichten uit onder meer WhatsApp, Instagram en Skype lezen.
'Malware is gericht op individuen'
Volgens Lookout is de malware vermoedelijk ingezet tegen personen uit de Kaukasus (Armenië, Azerbeidzjan, Georgië en zuidwestelijke delen van Rusland). Ook personen "met interesse in" de islam en de radicale rebellengroep Ahrar-al-Sham in Syrië zouden doelwit zijn geweest.
STC, het vermeende bedrijf achter de malware, werd in december 2016 door de toenmalige Amerikaanse president Barack Obama op een sanctielijst geplaatst voor het helpen van de Russische geheime dienst GRU bij spionage.
Lookout heeft variaties van Monokle sinds juli 2017 verschillende keren waargenomen. Volgens het bedrijf wordt de malware nog steeds gebruikt. Ook zijn er aanwijzingen dat een iOS-variant in de maak is, maar deze specifieke malware is vooralsnog niet op een iPhone gevonden.