Le virus aurait permis à ses créateurs de soutirer plusieurs millions d’euros à ses victimes. Selon les chercheurs en cybersécurité d’Avast et des universités de Czech Technical et de l’UNCUYO, le virus vise essentiellement les utilisateurs Android d’Europe de l’Est et de la Russie. Une campagne de piratage importante qui serait en place depuis 2016. La méthode du groupe de hackers consiste à récupérer des applications légitimes sur le Play Store et à y injecter du code malveillant. Ensuite, il suffit de proposer au téléchargement la version vérolée des applications sur des magasins d’applications alternatifs pour s’infiltrer sur des smartphones et faire des victimes. Les applications contaminées sont principalement des apps de réseaux sociaux, des jeux, ainsi que des applications bancaires. Une fois infiltrés sur les smartphones, les hackers passent en revue les SMS afin de capter un échange d’informations bancaires et de récupérer les identifiants et mots de passe. Le logiciel malveillant peut ainsi rester endormi pendant plusieurs années et se réveiller seulement lorsqu’un SMS provenant d’une banque est détecté. Il n’a plus qu’à récupérer les données personnelles bancaires transmises par SMS et à les envoyer aux pirates pour que le compte des victimes soit vidé. Parfois, le virus Geost peut également imiter la page de connexion de banques pour récupérer les identifiants et mots de passe de ses victimes qui les renseignaient manuellement. Selon Avast, le virus sévirait depuis au moins 3 ans et aurait fait un nombre important de victimes. Les personnes à l’origine de la campagne de piratage auraient ainsi pu récupérer plusieurs millions d’euros. Le virus Geost a pu être découvert à cause des nombreuses erreurs faites par les hackers. Les chercheurs en sécurité ont ainsi pu enquêter davantage sur le code du logiciel malveillant et ont également identifié deux membres du groupe. Si les autorités compétentes ont été prévenues, la campagne de Geost est toujours en cours.