بدافزارهای اندرویدی در حالی در تلگرام جولان میدهند که با کسب درآمد از تبلیغات، اقداماتی از جمله دانلود برنامههای جعلی، باز کردن کانال یا عضو کردن کاربر در کانال تلگرامی و شنود پیامکهای کاربر انجام میدهند.
بدافزارهای دستهی پوشفا را شاید بتوان از جمله قدیمیترین و پرانتشارترین بدافزارهای اندرویدی ایرانی تا به امروز دانست. بر اساس مشاهدات انجامشده توسط مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای)، نخستین بدافزارهای این دسته از مرداد ماه ۱۳۹۶ در پیامرسان تلگرام منتشر شده است. این درحالی است که در همان زمان، تلگرام در بین ایرانیان محبوبیت بیشتری پیدا کرده بود.
آمار دقیقی از میزان آلودگی به این بدافزارها در دسترس نیست، اما با توجه به فعالیت مستمر این بدافزار و انتشار روزانه حداقل یک نسخه از بدافزار در صدها کانال تلگرامی در طی ۱۷ ماه گذشته، انتظار میرود چندین میلیون از دستگاههای اندرویدی ایرانی به بدافزارهای پوشفا آلوده شده باشند. تاکنون بیش از ۲۰۰ نمونه از این بدافزار توسط مرکز ماهر شناسایی شده است.
از آنجا که بسیاری از بدافزارهای پوشفا پس از نصب مخفی شده و یا آیکون خود را با آیکون برنامهای مجاز و شناختهشده (مانند گوگلپلی، جیمیل، گوگلکروم و گوگلمپ) جایگزین میکنند، درصد زیادی از کاربران قادر به شناسایی و حذف بدافزارها نخواهند بود و بدافزار روی دستگاه باقی خواهد ماند. همچنین برخی از بدافزارهای پوشفا از کاربر درخواست مجوز مدیریتی میکنند که در صورت موافقت کاربر، حذف بدافزار برای کاربران عادی به سادگی امکانپذیر نخواهد بود و احتمال آلوده ماندن دستگاه بیش از پیش خواهد شد.
بدافزارهای پوشفا در ابتدا ساختار سادهای داشتند اما به مرور زمان ماژولهای مختلفی به آنها اضافه شده و رفتار آنها پیچیدهتر شده است. این بدافزارها در طول ۱۷ ماه گذشته با نامهای مختلفی از جمله نام برنامههای محبوب، موضوعات روز و با عناوین مستهجن منتشر شدهاند. در بین صدها بدافزار منتشرشده، بخش اعظمی از بدافزارها موبوگرام نام دارند. همچنین اغلب بدافزارهای این دسته پس از نصب، بدافزار دیگری به نام بازار دانلود و نصب میکنند که آیکونی مشابه با فروشگاه اندرویدی کافه بازار دارد و پس از نصب مخفی میشود.
هدف اصلی بدافزارهای پوشفا کسب درآمد از راه تبلیغات است. در ابتدای فعالیت این بدافزار، فروش عضو به کانالهای تلگرامی و تبلیغات از این دست رواج زیادی داشت به همین دلیل در نسلهای اولیه این بدافزار محور اصلی تبلیغات، تبلیغات تلگرامی بود. اما در حال حاضر با رشد روزافزون سرویسهای ارزش افزوده و تزریق بودجه تبلیغاتی از طرف این شرکتها هدف اصلی بدافزارهای پوشفا نیز نمایش تبلیغات سرویسها ارزش افزوده، دانلود خودکار و بدون اطلاعات در برنامههای دارای سرویس ارزش افزوده و در مواردی نیز دانلود بدافزارهای سرویس ارزش افزوده (عضویت در سرویس ارزش افزوده از طریق برنامهای بدون محتوا) است.
اصلیترین اقدامات مخرب بدافزارهای پوشفا که در هر نسل به تعداد آن افزوده شده، شامل مخفی شدن آیکون برنامه، درخواست مجوز مدیریتی از کاربر، دانلود خودکار بدافزاری به جعل عنوان کافه بازار، دانلود خودکار بدافزاری به نام موبوگرام، دانلود و نصب دیگر برنامهها (اغلب برنامههای دارای سرویس ارزش افزوده)، باز کردن کانال یا عضو کردن کاربر در کانال تلگرامی، باز کردن لینکی در مرورگر، شنود پیامکهای کاربر و ارسال پیامک حاوی کد فعالسازی به شمارهای خاص میشود.