Google waarschuwt voor malware die met populaire applicaties zoals vpn-software gebundeld is en aanvallers vergaande controle over het systeem geeft. Volgens onderzoeker Tatsuhiko Ito is de PlayFulGhost-malware een backdoor die functionaliteit deelt met de Gh0st RAT-malware, waarvan de broncode in 2008 openbaar werd gemaakt. De malware wordt verspreid via phishingaanvallen en 'SEO poisoning'.

Bij sommige van de phishingaanvallen versturen de aanvallers e-mails met het onderwerp 'gedragscode'. Gebruikers worden vervolgens gevraagd om de meegestuurde malafide RAR-bijlage te openen. Het bestand in de RAR-bijlage downloadt uiteindelijk de backdoor. De andere methode is SEO (search engine optimization) poisoning, waarbij criminelen de index van zoekmachines manipuleren, zodat zoekresultaten naar malafide websites hoger in de zoekresultaten verschijnen.

Bij deze laatste methode wordt de malware gebundeld met populaire software, zoals de vpn-applicatie LetsVPN. De malafide bundel verschijnt bovenaan de zoekresultaten, waardoor het om een legitieme download lijkt te gaan, aldus Ito. Zodra gebruikers de bundel openen wordt uiteindelijk de PlayFulGhost-malware op het systeem gedownload. Eenmaal actief kan de malware toetsaanslagen opslaan, screenshots maken, audio opnemen, data in het clipboard kopiëren en verwijderen, informatie over QQ-accounts verzamelen, logbestanden verwijderen, aanvallers commando's laten uitvoeren, aanvullende malware installeren en meer.

Opvallend aan de malware is dat die ook verschillende opties biedt die door Google als 'nuisance activity' worden omschreven. Het gaat dan om het aanpassen van de schermresolutie, het blokkeren van muis- en keyboardinvoer, het veranderen van de muisknoppenindeling, het verbergen van de taakbalk, openen en sluiten van de cd-romlade en het maken van piepgeluiden.