В феврале 2021 года эксперты «Лаборатории Касперского» обнаружили в популярном мессенджере поддельную рассылку с сообщением о привлекательной акции от одной из крупнейших торговых сетей в России.
В сообщении была указана ссылка, которая вела на скачивание в Google Play фальшивой бонусной карты в виде приложения. Для её использования необходимо было оформить платную подписку. В реальности приложение оказывалось почти пустым: при запуске пользователю показывалась картинка с логотипом магазина и предложением оформить карту, при нажатии запускался процесс покупки. У пользователя снимались деньги, но никакой бонусной карты он не получал.
Помимо популярной российской сети продовольственных магазинов троянец маскировался под цифровые дисконтные, бонусные и подарочные карты различных ритейл-брендов, популярных в России. Также он выдавал себя за приложение для настройки тем и заставок для смартфонов и даже за приложение с читами для популярной мобильной игры. В целом троянец скрывался под видом более 20 разных программ и брендов.
В среднем подписка, которую должен был оформить пользователь при установке приложения, стоила 600 рублей в неделю. У одного только приложения, которое мимикрировало под популярную в России торговую сеть, число установок превысило 10 тысяч. Таким образом, если представить, что каждый пользователь действительно оформил бы подписку, то потенциальный ущерб только от этого приложения мог составить шесть миллионов рублей. «Лаборатория Касперского» определяет приложение как Trojan.AndroidOS.Fakeapp.cw.