ذكرت شركة الأمن السيبراني وراء برنامج مكافحة الفيروسات الرئيسي نود٣٢، ESET، يوم ١٧ يونيو أن البرمجيات الخبيثة الجديدة التي تعمل بنظام أندرويد تتخطى القيود المفروضة على أذونات الرسائل القصيرة من غوغل للحصول على رموز المصادقة الثنائية المستلمة عبر الرسائل القصيرة.

ووفقًا للتقرير، فإن بعض التطبيقات الضارة قادرة على الوصول إلى كلمات المرور لمرة واحدة المرسلة إلى المستخدمين عبر الرسائل القصيرة عن طريق التحايل على القيود التي طبقتها غوغل مؤخرًا. علاوة على ذلك، يقال إن الأسلوب نفسه يسمح أيضًا بالوصول إلى الرموز المستندة إلى البريد الإلكتروني.

ووفقًا للمؤلف، فإن التطبيقات المذكورة تنتحل صفة بورصة العملات المشفرة التركية BTcTurk وتتصيد للحصول على تفاصيل تسجيل الدخول إلى الخدمة. حيث تقوم البرامج الضارة، "بدلًا من اعتراض الرسائل النصية القصيرة لتجاوز حماية المصادقة ثنائية العوامل على حسابات المستخدمين ومعاملاتهم، تأخذ هذه التطبيقات الضارة كلمة المرور لمرة واحدة من الإشعارات التي تظهر على شاشة الجهاز المخترق." كما يتخذ التطبيق تدابير لمنع المستخدم من ملاحظة الهجوم المستمر :

"بالإضافة إلى قراءة إخطارات المصادقة ثنائية العوامل، يمكن للتطبيقات أيضًا رفضها لمنع الضحايا من ملاحظة حدوث عمليات احتيالية."

تم تحميل أول تطبيق يتصرف على هذا النحو في متجر غوغل بلاي يوم ٧ يونيو تحت اسم BTCTurk Pro Beta بواسطة حساب المطور BTCTurk Pro Beta وتم تثبيته بواسطة أكثر من ٥٠ مستخدمًا قبل أن تقوم ESET بإبلاغ غوغل عنها. وبعد هذه الحالة الأولى، تم تحميل نسختين أخريين من التطبيق ثم إزالتهما بعد ذلك من المتجر.