A Lookout kiberbiztonsági kutatói egy új mobil megfigyelésre alkalmas spyware-t azonosítottak, amelyről feltételezik, hogy egy olyan orosz védelmi cég (Special Technology Centre) fejleszthette, amelyet már értek szankciók a 2016-os amerikai elnökválasztásban való közreműködés vádjával. A Monokle nevű RAT (remote-access-trojan) kártevőt legalább 2016 márciusa óta aktívan használják Android telefonok ellen, célzott támadások során. A Lookout szerint a Monokle kiterjedt és fejlett kémkedési funkciókkal rendelkezik, amelyek nem feltétlenül igényelnek root jogoultságot az adott eszköz felett. A káros kód az Android hozzáférhetőségi szolgáltatásokat használja arra, hogy adatokat szerezzen több harmadik féltől származó alkalmazásból, mint például a Google Docs, a Facebook messenger, a Whatsapp, a WeChat és a Snapchat, azáltal, hogy képes beolvasni a képernyőn megjelenített szöveget. A malware emellett megpróbálja rögzíteni a felhasználó PIN kódját vagy jelszavát, illetve az eszközön szinte mindenhez hozzáférést próbál szerezni ─ SMS üzenetek, e-mailek, képek, böngészési history ─ és rögzíteni a hívásokat. Amennyiben root jogosultságot tud szerezni, tetszőleges kódot futtathat az eszközön, valamint egy saját gyökértanúsítványt telepíthet, amelynek segítségével képes az SSL kommunikációba ékelődni. A káros applikációt olyan legitim alkalmazásoknak álcázva terjesztik, mint például az Evernote, a Google Play, a Pornhub, a Signal, a UC Browser, vagy a Skype, amelyek a legitim funkciókat is megtartják, ami megnehezíti az észlelésüket. A spyware összességében az izraeli NSO Group Pegasus kémszoftveréhez hasonló potenciállal bír, azzal a különbséggel, hogy az utóbbi nulladik napi (0-day) sérülékenységek kihasználásával, felhasználói interakció nélkül képes települni. Egyes minták alapján a Lookout arra a következtetésre jutott, hogy már készül a Monokle iOS-es verziója is.
