移动安全公司 ThreatFabric 的研究人员披露了隐藏在 Google Play 官方应用商店四个月总下载量 30 万次的恶意程序，这些应用伪装成合法应用如二维码扫描程序、PDF 扫描器和加密钱包，然后通过后续下载更新变成银行木马，窃取用户的登陆凭证和二步验证码，能记录按键和屏幕截图。研究人员称，攻击者采用了新的策略以尽量不被发现。攻击者首先让应用看起来合法并且有用，然后在安装之后提示用户更新，但用户更新的未必是恶意程序，攻击者有选择性的只对感兴趣的地区推送恶意更新，更新之后程序仍然能正常工作，因此这些应用的留言多数是好评，评价也不错。研究人员认为攻击者缩小攻击面是 Google Play 对权限进行限制的直接后果。