По словам соучредителя CrowdStrike Дмитрия Альперовича, в операции по шпионажу применялся вариант вредоносного ПО, задействованного при взломе серверов Национального комитета Демократической партии США. Вредонос способен перехватывать коммуникации и ряд геолокационных данных с инфицированных устройств. В дальнейшем информация могла использоваться для нанесения удара по украинской артиллерии в поддержку пророссийских сепаратистов на востоке Украины, считают исследователи.
Вредоносный имплант был внедрен в разработанное одним из украинских военных легитимное Android-приложение, позволяющее ускорить обработку данных о координатах цели. Легальная загрузка приложения была доступна на страницах ВС Украины в соцсети "ВКонтакте". Это первый известный случай использования вредоносного ПО Fancy Bear на платформе Android, отметили эксперты.