Специалисты российской компании «Доктор Веб» нашли в магазине Google Play более 60 мобильных игр, содержавших функции для загрузки и выполнения программного кода, скрытого внутри изображений. Авторами их значатся Conexagon Studio, Fun Color Games, BILLAPPS и другие. Троянская программа получила название Android.Xiny.19.origin.
В магазине Google Play работает система автоматической проверки приложений на наличие вредоносных функций. Обойти ее трудно, но авторам Android.Xiny.19.origin это удалось. Игры, сделанные ими, действительно работают, но одновременно собирают и передают на сервер сведения об устройстве (номер IMEI и MAC-адрес), версии операционной системы и так далее. Имеются возможности показа рекламы, загрузки и предложения установки приложений (а при наличии административного доступа — и установки и удаления без ведома пользователя) и, наконец, запуска приложений в apk-файлах, скрытых внутри файлов изображений с помощью стеганографии. Эта особенность делает троянца особенно опасным, полагают специалисты «Доктор Веб», так как обычные файлы изображений могут ускользнуть от внимания вирусных аналитиков.
Почти такой же метод скрытия apk-файлов в изображениях демонстрировали в октябре 2014 года на конференции Black Hat Europe исследователи Аксель Апвриль и Анж Альбертини.