Aplikacje o których mowa to Camero, FileCrypt i callCam. Dostępne w sklepie Play od marca 2019 lub dłużej, aplikacje wykorzystywały tą samą dziurę w zabezpieczeniach, którą odkryła izraelska firma NSO Group.
uka ta znajduje się w jednej z wersji odpowiadającego za komunikację między procesami sterownika Binder. Pozwala ona na przeprowadzenie operacji use-after-free, dzięki której haker jest w stanie zrootować urządzenie za pomocą MediaTek-SU. Wszystko dzieje się oczywiście bez wiedzy użytkownika. Tak przeprowadzona operacja pozwala zainstalowanej aplikacji na zbieranie wielu prywatnych danych użytkownika telefonu, m.in. informacji o urządzeniu, listy zainstalowanych aplikacji, poziom naładowania baterii czy lista plików znajdujących się w pamięci. Dane aplikacji, np. należących do Google, też nie są bezpieczne.
Za wykrycie trzech niecnych aplikacji odpowiadają Ecular Xu i Joseph C Chen z Trend Micro. Podejrzewają oni, że za atak odpowiada hinduska grupa SideWinder.
