حدد باحثو شركة ESET حملتين نشطتين (BadBazaar) استهدفتا مستخدمي أندرويد في 17 بلدًا بما فيهم اليمن، عبر تطبيقي Signal Plus Messenger، و وFlyGram، واللذين تم تعديلهما باستخدام تعليمات برمجية ضارة (أحصنة طروادة)، لافتين إلى أن كود التجسس تم توزيعه من خلال متجر Google Play، وSamsung Galaxy Store، ومواقع الويب المخصصة.

وأشار الباحثون إلى أن الغرض من هذه التطبيقات هو سحب بيانات المستخدم، حيث يستطيع FlyGram استخراج معلومات الجهاز الأساسية، والبيانات الحساسة مثل قوائم جهات الاتصال، وسجلات المكالمات، وقائمة حسابات قوقل Google. علاوة على ذلك، فإن التطبيق قادر على سرقة بعض المعلومات والإعدادات المتعلقة بتيليجرام، منوهين بأنه في حال قام المستخدمون بتمكين ميزة معينة للتطبيق الضار FlyGram فإن ذلك يسمح بإجراء نسخ احتياطي ونقل بيانات تيليجرام إلى خادم بعيد يتحكم فيه المهاجمون، وسيكون لدى جهة التهديد حق الوصول الكامل إلى نسخ تيليجرام الاحتياطية، وليس فقط البيانات الوصفية المجمعة. 

وأضاف التقرير الصادر عن إسيت: يقوم Signal Plus Messenger بجمع بيانات الجهاز المماثلة والمعلومات الحساسة؛ ومع ذلك، فإن هدفها الرئيسي هو التجسس على اتصالات Signal الخاصة بالضحية، حيث يمكنها استخراج رقم التعريف الشخصي PIN لـ Signal الذي يحمي الحساب، وإساءة استخدام ميزة ربط الجهاز التي تسمح للمستخدمين بربط Signal Desktop وSignal iPad بهواتفهم.