Triout был впервые обнаружен исследователями компании Bitdefender в августе прошлого года. Тогда фреймворк распространялся вместе с приложением для взрослых, однако теперь он заражает устройства через инструмент для обхода блокировок Psiphon.
По словам аналитика Bitdefender Ливиу Арсене (Liviu Arsene), модифицированная версия приложения работает так же, как оригинальная, и невооруженным взглядом их не отличить. Однако помимо своих основных функций, вредоносная версия также записывает в фоновом режиме телефонные звонки, регистрирует входящие сообщения, записывает видео, делает снимки и собирает GPS-координаты.
Собранные данные Triout отправляет на подконтрольный злоумышленникам C&C-сервер. IP-адрес сервера вывел исследователей на французский сайт розничной торговли magicdeal.fr, законность/незаконность которого пока не подтверждена.
Помимо вредоносного фреймворка, злоумышленники добавили в модифицированную версию Psiphon три рекламных компонента для дополнительного заработка. Хотя зараженное приложение было обнаружено 11 октября прошлого года, оно было активно с 2 мая по 7 декабря. Согласно данным телеметрии, за этот период вредоносное приложение загрузили всего лишь 17 пользователей Bitdefender.