安全公司卡巴斯基報告，專業黑客組織至少從2016年就潛入到Google Play，利用官方應用商店傳播具有後門功能的惡意程序，悄悄竊取用戶的敏感信息。卡巴斯基識別了8個可上溯到2018年的應用，存檔搜索和其它方法顯示黑客組織至少從2016年起就潛入了Google Play。

惡意程序使用的指令控制服務器域名是在2015 年註冊的，代碼和指令控制服務器與黑客組織OceanLotus (aka APT32、APT-C-00 和SeaLotus)有關聯，因此研究人員相信這些惡意程序是專業黑客組織的作品。

攻擊者利用了多種方法避開Google 的安全檢查。一種方法是最初被接受的版本沒有惡意功能，但後續的更新加入了後門。甚至最初的版本不需要權限，但利用隱藏的代碼索要權限。Google 在收到報告之後已將這些應用移除。