Ряд на первый взгляд безобидных Android-приложений заражают устройства израильских пользователей шпионским ПО еще с 2018 года. По словам обнаруживших приложения специалистов компании Qihoo 360, в настоящее время вредоносная кампания все еще продолжается. Вредоносные приложения маскируются под Threema, Al-Aqsa Radio, Al-Aqsa Mosque, Jerusalem Guide, просмотр PDF, Wire и пр. Самой агрессивной является подделка защищенного мессенджера Threema. По мнению исследователей, приложения попадают на устройства жертв через публикации в Facebook или сообщения в WhatsApp, направляющие пользователей на web-сайты, предлагающие загрузить APK. В некоторых случаях сообщения содержат ссылки на Google Диск, где якобы хранится важный засекреченный PDF-документ. Жертву убеждают загрузить шпионское ПО под видом мобильной версии Adobe Reader. В ходе вредоносной кампании злоумышленники использовали разные типовые вредоносные программы, в частности SpyNote, Mobihok, WH-RAT и 888RAT. Все они представляют собой коммерческое шпионское ПО, способное извлекать файлы, записывать звонки, отслеживать местоположение, записывать нажатия клавиш, захватывать фото и видео, управлять буфером обмена, выполнять команды оболочки. В некоторых случаях в APK были обнаружены Metasploit и EsecretRAT. В обоих случаях злоумышленники реализовали дополнительный кастомный код поверх инструментов с открытым исходным кодом. EsecretRAT базируется на приложении ChatApp и представляет собой шпионское ПО, способное извлекать списки контактов, SMS-сообщения, IMEI, данные о местоположении, IP-адреса и фотографии. По мнению специалистов Qihoo 360, за вредоносной кампанией стоит группировка APT-C-23, связанная с ХАМАС. В октябре 2020 года было обнаружено, что группировка использовала шпионское ПО для Android, замаскированное под Threema и Telegram, в атаках на пользователей в Израиль.