Loại mã độc mới này được các nhà nghiên cứu của Wandera đặt tên là RedDrop được phát hiện trong 53 ứng dụng của các cửa hàng của bên thứ 3. 53 ứng dụng này bao gồm các ứng dụng tính toán, công cụ quản lý ổ đĩa và biên tập ảnh. Các ứng dụng chứa mã độc đều yêu cầu được cấp rất nhiều quyền, bao gồm cả quyền được chạy ngay cả khi thiết bị khởi động lại.
Hacker tạo ra RedDrop phát tán các ứng dụng bị nhiễm mã độc thông qua hơn 4.000 tên miền bị xâm nhập. RedDrop hoạt động như sau: khi người dùng khởi chạy ứng dụng nhiễm độc, nó sẽ tự động tải thêm 7 ứng dụng độc hại khác với mục tiêu lấy cắp dữ liệu cá nhân của người dùng.
Dữ liệu cá nhân bị đánh cắp bao gồm danh bạ, số IMEI và IMSI, ảnh, thông tin thẻ SIM, ghi âm cuộc trò chuyện và các tiếng ồn xung quanh đó. Những dữ liệu này sau khi bị đánh cắp sẽ được gửi đến cho hacker để tống tiền. Bên cạnh đó, ứng dụng còn khiến nạn nhân bị mất tiền mà không hề biết bằng cách gửi tin nhắn SMS đến các dịch vụ trả phí.
RedDrop được phát hiện lần đầu tiên tại một máy chủ của Trung Quốc. Tuy nhiên, cho đến giờ vẫn chưa tìm ra được ai là người đứng sau RedDrop. Phó phòng Chiến lược sản phẩm của Wandera cho biết cách thức tấn công của RedDrop là rất độc đáo. Kẻ sử dụng mã độc này đã khéo léo sử dụng một ứng dụng có vẻ hữu ích trước một hoạt động phức tạp với ý đồ xấu. Đây là một trong những biến thể của mã độc tấn công dai dẳng nhất mà ông từng biết.