Jako platforma dla milionów użytkowników i twórców aplikacji Sklep Play firmy Google stanowi atrakcyjny cel dla cyberprzestępców. Poza innymi niebezpiecznymi działaniami atakujący wykorzystują Sklep Play do przeprowadzania tzw. kampanii Shuabang, które są szczególnie rozpowszechnione w Chinach. Są to oszukańcze działania reklamowe mające na celu promowanie legalnych aplikacji dostępnych w sklepie poprzez przyznawanie im najwyższych not, zwiększanie liczby pobrań i publikowanie pozytywnych komentarzy. Aplikacje stosowane do prowadzenia takich działań reklamowych zazwyczaj jako takie nie stanowią “typowego” zagrożenia dla użytkownika zainfekowanego użytkownika – nie kradną pieniędzy ani danych, jednak mogą wyrządzić pewne szkody. Możliwość pobierania dodatkowych aplikacji na zarażonym urządzeniu bez wiedzy użytkownika może być powodem zwiększonych rachunków za komórkowy transfer danych, a niektóre aplikacje wykorzystywane w kampaniach Shuabang potrafią ukradkowo instalować płatne programy, automatycznie wykorzystując kartę połączoną ze Sklepem Play jako metodę płatności.
W celu realizowania omawianych kampanii cyberprzestępcy tworzą wiele fałszywych kont w Sklepie Play lub infekują urządzenia ofiar specjalnym programem, który potajemnie wykonuje czynności w sklepie.
Mimo że firma Google stosuje solidne mechanizmy zabezpieczające, które umożliwiają wykrywanie i blokowanie fałszywych użytkowników, twórcy trojana Guerilla aktywnie próbują obejść ochronę.
Trojan jest dostarczany do urządzenia ofiary poprzez szkodliwe narzędzie Leech, dające atakującemu uprawnienia użytkownika zainfekowanego smartfona lub tabletu. Uprawnienia te pozwalają cyberprzestępcy na nieograniczone manipulowanie danymi na urządzeniu, między innymi pozwalają na uzyskanie dostępu do imienia i nazwiska ofiary, haseł czy certyfikatów uwierzytelniających, wymaganych do komunikowania się aplikacji z usługami Google (dane te nie są dostępne dla zwykłych aplikacji na urządzeniach, które nie zostały zrootowane). Po instalacji trojan Guerilla wykorzystuje te dane, by komunikować się ze Sklepem Play podszywając się pod legalną aplikację.
Cyberprzestępcy są bardzo ostrożni – wykorzystują wyłącznie dane uwierzytelniające prawdziwych użytkowników i dbają o to, by żądania wysyłane przez fałszywą aplikację do Sklepu Play były identyczne jak te generowane przez legalne programy.
Co ciekawe, szkodliwy program próbuje naśladować zachowanie prawdziwego użytkownika w sklepie. Na przykład przed otwarciem strony konkretnej aplikacji trojan szuka jej i przegląda zawartość sklepu tak, jak zrobiłby to człowiek.
