シマンテックはゲームや教育アプリを装った不正アプリをGoogle Play ストアで発見した。同社がGoogle Play ストアで発見した不正アプリは38種類で、ゲームや教育アプリに偽装していた。同社によると、これらの不正アプリは2017年12月ごろからGoogle Play上で公開されている。
これらのアプリをインストールするとHelperという名前が表示されるが、起動するとAPI から setComponentEnabledSetting を呼び出し、ホーム画面から自身のアイコンを削除して存在を隠し、裏で動作を続ける。ゲームや教育アプリをかたっているが、このような機能は実行せずに強制リダイレクトでGoogle Playから別のアプリへの誘導が目的でアプリをインストールさせており、特定のサイトへのURLへのアクセスを促す機能でWebトラフィックを増やすのが目的だと推測している。
アプリが広告を表示している裏でバックグラウンドではユーザが気づかないところでサービスを実行し、デバイスのネットワーク接続状態を監視し、ネットワーク接続が可能になると37種のどれかがこのデバイスにインストールされているかを確認し、インストールされていない場合には複数のURLも読み込まれている。
これらのアプリは正規アプリのように見えるため、現在1万件以上もダウンロードされているが、現在は同社がGoogleに報告済みのため Google Play ストアからは削除されている。
