Các nhà nghiên cứu đã theo dõi những máy tính vào trang web của Google từ tháng 6 đến tháng 10-2014. Trong 5 tháng, họ phát hiện 5,5% IP duy nhất (là hàng triệu người dùng) truy cập vào các trang Google, bao gồm những trang có nhúng quảng cáo.
Đặc biệt, họ đã phát hiện 5.339.913 địa chỉ IP khác nhau bị nhiễm phần mềm gián điệp adware. Khoảng 3,9% bị nhiễm Superfish, sau đó là Jollywallet chừng 2,4%.
Những công ty này quản lý các mối quan hệ với nhiều mạng lưới quảng cáo và các chương trình mua sắm. Những phần mềm gián điệp, ví dụ như Superfish, sẽ chọn loại quảng cáo nào cần xuất hiện, và khi người dùng viếng thăm click vào một quảng cáo, hay mua 1 sản phẩm, Superfish sẽ có lợi nhuận, dù nó chỉ chia cho các thành viên một phần nhỏ trong số đó.
Trong cuộc nghiên cứu, những nhà nghiên cứu đã phát hiện một mưu đồ mà họ gọi là “chuỗi click”, sinh ra từ một quảng cáo nhúng vào Google. Một truy vấn, ví dụ cho Android, sẽ kích hoạt Superfish lấy một danh sách các quảng cáo được nhúng vào. Nhóm nghiên cứu đã click vào quảng cáo, nó bắt đầu một chuỗi chuyển hướng qua nhiều trung gian, trước khi vào quảng cáo của trang Best Buy.
Superfish làm quá tải BestBuy.com với những quảng cáo lừa đảo, mặc dù nó đã được siêu thị này trả tiền để quảng cáo.
Những nhà nghiên cứu Google hy vọng điều này sẽ khiến các nhà quảng cáo và ngành công nghiệp quảng cáo lưu ý, cùng hợp tác để giải quyết các phần mềm kiếm lợi bất chính từ cả hai bên này.