Według raportów opublikowanych przez ThreatFabric aplikacje na Androida w sklepie Google Play, które kradły dane bankowe, miały ponad 300 000 pobrań przez niczego niepodejrzewających użytkowników. Te pozornie nieszkodliwe aplikacje podszywające się pod skanery QR, portfele kryptowalut i skanery PDF w złośliwy sposób kradły poufne dane finansowe. Dane użytkownika, takie jak hasła, kody uwierzytelniania dwuskładnikowego, rejestrowane przez użytkownika naciśnięcia klawiszy i wiele innych, zostały skradzione przez te aplikacje, które należą głównie do czterech rodzin złośliwego oprogramowania, a mianowicie Anatsa, Alien, Hydra i Ermac. Google stara się zwalczyć ten problem, wprowadzając szereg ograniczeń, które mają na celu ograniczenie dystrybucji takich aplikacji. To z kolei skłoniło do opracowania pomysłowych metod obchodzenia ograniczeń bezpieczeństwa Sklepu Google Play przez umysły stojące za tymi złośliwymi programami.
Jak wyjaśnia ThreatFabric, zawartość złośliwego oprogramowania nie jest wprowadzana bezpośrednio przez Sklep Google Play, tym samym unikanie wykrycia. Użytkownicy są zachęcani do pobierania dodatkowych aktualizacji ze źródeł zewnętrznych przez te aplikacje. Cyberprzestępcy posunęli się tak daleko, że ręcznie uruchomili pobieranie takich aktualizacji po prześledzeniu lokalizacji urządzeń z pobranymi aplikacjami.
Niektóre złośliwe aplikacje zidentyfikowane przez ekspertów ds. cyberbezpieczeństwa obejmują skaner QR, QR Scanner 2021, Two Factor Authenticator, Protection Guard, QR CreatorScanner, Master Scanner Live, CryptoTracker, PDF Document Scanner, PDF Document Scanner Free oraz Gym and Fitness Trainer.
Z czterech dominujących rodzin złośliwego oprogramowania, z ponad 100 000 pobrań Antasa znajduje się na szczycie listy. Duża liczba pobrań i dobre recenzje, a także przyzwoita funkcjonalność samych aplikacji sprawiły, że wyglądały na legalne. Jednak po pobraniu ze sklepu Google Play aplikacje te zachęcały użytkowników do dalszego pobierania dodatkowych treści stron trzecich w celu ich użycia. Okazało się, że to złośliwe oprogramowanie, które po instalacji było w stanie wykraść poufne dane finansowe i przechwycić całą aktywność na ekranie urządzenia.
W kwietniowym post na blogu Google, firma wyszczególniła środki, które podjęła, aby przeciwdziałać takim złośliwe aplikacje, w tym ograniczanie dostępu programistów do poufnych informacji. Jednak Google Play Protect nie zapewnia wystarczająco kompetentnego poziomu bezpieczeństwa, zwłaszcza w porównaniu z czołowymi programami chroniącymi przed złośliwym oprogramowaniem na rynku, zgodnie z lipcowym testem przeprowadzonym przez niemiecki instytut bezpieczeństwa IT AV-Test. Przetestowano około 20 000 złośliwych aplikacji i udało się wykryć tylko około dwóch trzecich z nich.
