کتابخانه تبلیغاتی نسخه ای از یک موبایل مشهور چینی متهم شده است به اینکه دارای امکاناتی است که میی تواند از آنها در راستای شنود نهانی صدا ها از روی سیستم های دارای iOS بکند و نیز داده های آنها را نیز مورد سرقت قرار بدهد .با توجه به تحقیقاتی که در FireEye انجام گرفته است گفته می شود که آنها 17 نسخه مخفی از  mobiSage SDK ( نسخه های 5.3.3 تا 6.4.4 ) را در اختیار دارند ؛ امکان این اعمال مشکل ساز در نسخه آپدیت 7.0.5 وجود ندارد .سرپرست ارشد مهندسی امنیت Raymond Wei به Threatpost اعلام کرده است : مشخص نیست که adSage شرکت مادر توانایی های بدافزاری به SDK را تغییر داده است یا این کار توسط یک عملیات دیگر مانند جنایات یا عملیات از قبل تنظیم شده توسط یک سازمان حامی صورت پذیرفته است .
 Wei می گوید : " دانستن این مطلب سخت است و ما در آن حد از آگاهی و هوش نیستیم که دقیقا بگوییم جریان از چه قرار است . البته برخی دلیل ها وجود دارند که شبکه های تبلیغاتی قصد جمع آوری اطلاعات از درگاه های غیر معمول را داشته اند . مراکز ( کتابخانه های ) تبلیغاتی بسیار مشتاق هستند که با کسب یک یا چند برتری مهم و جمع آوری یک سری اطلاعات از رقیبان خود پیشی بگیرند . اما ضبط صدا در پشت صحنه آن هم بدون اطلاع افراد کاری است که در زمینه عملکرد مراکز تبلیغاتی قابل بررسی است . "
Wei اینگونه گمانه زنی می کند که احتمالا کتابخانه تبلیغاتی از طریق یک کانال پخش و توضیع در چین جابجا شده است و در آنجا هم توسعه دهندگان در حال دانلود این فایل ها بوده اند و پس از دانلود از آنها در نسخه های جدید نرم افزار های خود بهره برده اند و بدین ترتیب بدون اینکه برنامه نویسان و توسعه دهندگان نرم افزار ها کوچکترین شکی در آلوده بودن برنامه ها داشته باشند آنها را وارد بازار نموده اند .
Wei اضافه می کند : " خیلی سخت می شود با قاطعیت گفت که آیا این اسناد آلوده مربوط به برنامه ها از طرف همان کانال های آلوده وارد سیستم شده اند یا اینکه خود شرکت به عمد این کار را انجام داده و در اصل اسناد آلوده توسط شرکت وارد نرم افزار ها شده اند ، درست همانند XcodeGhost . تشخیص این مساله در این زمینه کار راحتی نیست و ما از عهده این کار بر نمی آییم . "
FireEye همچنین مشخص کرد که 2,846 مورد از نرم افزار های iOS که در Apple App Store وجود دارند آلوده به همین نسخه های جاسوسی mobiSage می باشند ؛ بیش از 900 مورد تلاش هم برای برقراری ارتباط با یک سرور تبلیغاتی انجام گرفته است که در این شرایط یک حمله کننده به راحتی می تواند دستورات JavaScript را از راه دور برای دستگاه بفرستد تا بدینوسیله بتواند آن را کنترل نماید . باز هم بر اساس اظهارات FireEye هیچ یک از 900 مورد تلاشی که صورت گرفته بود به نتیجه نرسیده اند و JavaScript مضر توسط فایل های آلوده فرستاده نشده اند .
توانایی های گفته شده در این حد هستند که می توان به وسیله فایل های آلوده از یک دستگاه iOS اسکرین شات گرفت و یا مکالمات آن را ضبط کرد . همچنین یک حمله کننده می تواند کار هایی نظیر مشاهده و زیر نظر گرفتن دستگاه قربانی را انجام بدهد ، کل اطلاعات دستگاه و داده های مربوط به مکان (location  ) آن را آپلود نماید ، در قسمت های شامل داده های نرم افزار برود و این داده ها را تغییر بدهد ، keychain مربوط به نرم افزار ها را بخواند و یا کلا ریست بکند ، داده های رمز گذاری شده را به سرور سوم ارسال نماید ، نرم افزار های دیگری را بر روی سیستم اجرا نماید و یا نرم افزار های خاصی را در یک گوشه دستگاه اجرا بکند .
FireEye اظهار کرده است این مورد در تاریخ 21 ام ماه اکتبر با ارائه لیستی کامل از نرم افزار های آلوده اپل و جزئیات فنی آنها ، به این شرکت اخطار داده است . Wei چنین بیان می کند که محققان هیچ تاییدی در مورد اقداماتی که از طرف شرکت اپل و در مقابله با این نرم افزار ها انجام شده باشد نداشته اند و به همین سبب به درون App Store راه یافتند .
در ادامه اظهارات Wei می خوانیم : " همه ی آن فعالیت ها و اقداماتی که مورد بحث قرار گرفت تحت شرایط خاصی قانونی و درست هستند . برای مثال برنامه های قانونی و دارای محوزی وجود دارند که می توانند صدا ها را ضبط نمایند . تنها تفاوت کار این دو در این است که در نمونه ی قانونی کاربران توسط یک هشدار کاملا واضح و روشن در جریان کار ضبط صدا قرار می گیرند و اگر تمایل به انجام آن داشتند آن را تایید می کنند . اما مشکل از جایی ناشی می شود که App Store نتوانسته است تشخیص بدهد که آیا این برنامه ها به  هنگام اجرا بر روی سیستم iOS کاربر را در جریان کار قرا خواهند داد یا نه . "
در طی این گزارش FireEye یک سری اطلاعات فنی در مورد کار های مخفی در اختیار می گذارد که دارای دو بخش می باشد . یکی از این بخش ها msageCore خوانده می شود که سبب اجرای عملیات بخش سری کار می شود و پهنه مرزی مورد نیاز را در اختیار JavaScript قرار می دهد .
FireEye در این پهنه های مرزی متوجه برخی قابلیت های کتابخانه شده است که با استناد به آنها توانایی کارهایی مانند ضبط صدا ها ، گرفتن اسکرین شات و کار های جاسوسی دیگری مانند سرقت رمز ها تایید می شود .
 Wei گفته است : " نتیجه این بررسی ها بسیار حیرت انگیز است . یک مرکز تبلیغاتی به این اندازه می تواند خود را گسترش بدهد و می تواند یک نرم افزار مضر هم وارد App Store کرده و در آن گسترش بدهد .