Подобные приложения, по словам специалистов, загружают вредоносный контент только в определенных регионах, в том числе в России. Вредоносные программы маскируются под сканеры документов и QR-кодов, после доступа к смартфону мошеннические приложения начинают отслеживать данные Сбербанка, Тинькофф-банка, «Уралсиба», Почта-банка и ОТП-банка.
Подобные вредоносные приложения, принадлежащие к группе Anatsa, были установлены 200 000 раз. Прежде всего пиратская программа нацелена на Россию, США, Великобританию и другие страны. Сканер QR-кодов издателя Qrbarbode LDC из этой группы был скачен более 50 000 раз. Эксперты отмечают, что работа приложений происходит в точности с описанием, при этом на их страницах много положительных отзывов.
В Threatfactor отметили, что приложение определяет стоит ли загружать вирус на телефон или нет после загрузки на телефон. В случае положительного решения приложение просит пользователя скачать «обновление» и разрешить установку неизвестных приложений, которые вместо обновлений скачивают вредоносный код. После этого запрашивается полный доступ к телефону. В числе вредоносных приложений эксперты нашли программу для занятий фитнесом. Для загрузки вредоносного кода приложение сообщает, что «обновление» добавит новые тренировки и упражнения.