Na trop szkodliwego kodu wpadli pracownicy Kaspersky Lab. Szczegółowa analiza wykazała, że Superclean oraz DroidCleaner sprawiają wrażenie przydatnych poprzez wyszczególnienie działających w systemie aplikacji i zrestartowanie ich. W rzeczywistości jednak oba programy uruchamiają także w tle proces pobierania trzech plików (autorun.inf, folder.ico i svchosts.exe), które są zapisywane na karcie SD. Po podłączeniu zainfekowanego smartfona do komputera, uruchamiany jest plik svchosts.exe, ukrywający w sobie Backdoor.MSIL.Ssucl.a. Szkodliwy kod nie jest zbyt zaawansowany, a jego działanie ogranicza się do nagrywania dźwięków rejestrowanych przez mikrofon i przesyłania ich w zaszyfrowanej formie do twórców aplikacji. Nie ulega jednak wątpliwości, że wkrótce możemy zetknąć się z bardziej rozbudowanym malware'em. Narażone na niego są zwłaszcza starsze edycje systemu Windows, które nie mają domyślnie wyłączonej funkcji autoodtwarzania.
Oprócz typowo szpiegowskiej funkcji na PC, Superclean i DroidCleaner spełniają także szereg innych zadań na zainfekowanych smartfonach. Wśród uprawnień aplikacji znajdują się: kopiowanie, usuwanie i wysyłanie SMS-ów, zbieranie informacji o urządzeniu, otwieranie odnośników w przeglądarce internetowej, przesyłanie zawartości karty SD, zdjęć, współrzędnych czy danych o kontaktach do zdefiniowanego serwera. Obie aplikacje zostały już usunięte z Google Play.
