W Google Play pod koniec listopada pojawiły się aplikacje „Crypto Monitor” oraz „StorySaver”. Pierwsza z nich służy do monitorowania kursów kryptowalut. Druga pozwala na zapisywanie filmów i zdjęć z tzw. story serwisu Instagram.
Oba programy funkcjonują w ten sam sposób. W pierwszej kolejności, aplikacje skanują pamięć smartfona w poszukiwaniu dowolnej z czternastu aplikacji bankowych: Alior Mobile, BZWBK24 mobile, Getin Mobile, IKO, Moje ING mobile, Bank Millennium, mBank PL, BusinessPro, Nest Bank, Bank Pekao, PekaoBiznes24, plusbank24, Mobile Bank oraz Citi Handlowy. Następnie, złośliwe programy podszywają się pod bank i wysyłają fałszywe powiadomienia do ofiary. Po przejściu na stronę z powiadomienia użytkownik proszony jest o rzekome zalogowanie się na konto bankowe. Operacja służy przechwyceniu danych logowania przez aplikację. Ponadto, programy proszą o dostęp do skrzynki SMS-owej, co może służyć przechwyceniu kodów autoryzujących transakcje.
O podejrzanym działaniu programów poinformowano serwis Google'a. Aplikacje pobrano tysiące razy, 96 proc. użytkowników pochodzi z Polski. Osobom, które ściągnęły złośliwe oprogramowanie zaleca się odinstalowanie go oraz zmianę danych logowania w serwisach bankowych. Należy również prześledzić historie transakcji w poszukiwaniu kradzieży środków finansowych z konta.