ضمن متجر (Google play) وهما: CherryBlos، وFakeTrade، حيث تعملان على سرقة بيانات الاعتماد للعملات المشفر، أو الأموال، أو إجراء عمليات احتيال.
وكلا العائلتين تستخدمان البنية التحتية نفسها للشبكة والشهادات، مما يشير إلى أنهما تتبعان جهة التهديد الفاعلة ذاتها، بحسب بيان للشركة.
وتستخدم التطبيقات الضارة قنوات توزيع متنوعة، ومن ذلك: وسائل التواصل الاجتماعي، ومواقع التصيد الاحتيالي، وتطبيقات التسوق الخادعة في (Google play) المتجر الرسمي لنظام التشغيل أندرويد.