Експерти ESET виявили мобільний банківський троян для Android з функцією блокування екрану, маскирующийся під програми з прогнозом погоди на Google Play. В ході установки шкідливий запитує у користувача розширені права в системі. По завершенні установки троянець виводить на головний екран віджет з прогнозом погоди, "запозичений" у легального програми. Паралельно з цим інформація про пристрої передається у фоновому режимі на командний сервер.

Троянець розпізнає популярні банківські програми, збирає логіни і паролі за допомогою фальшивих форм введення і направляє ці дані своїм операторам. Функція перехоплення текстових повідомлень дозволяє обійти двофакторну аутентифікацію на базі SMS. Крім того, програма може блокувати і розблокувати екран пристрою по команді зловмисників, змінюючи пароль. Імовірно, ця функція використовується в момент списання коштів з рахунку, щоб приховати крадіжку від жертви.

Спеціалісти ESET виявили першу версію троянця на Google Play 4 лютого. Шкідливий маскувався під додаток Good Weather і шукав на скомпрометованих пристроях одне з 22 банківських програм, що використовуються в Туреччині. Через два дні підроблене додаток було видалено з магазину. Вже 14 лютого на Google Play з'явилася оновлена версія шкідливої програми. Під назвою World Weather вона поширювалася до 20 лютого включно. Функціонал троянця не змінився, але тепер кампанія розширила охоплення і була націлена на користувачів 69 британських, австрійських, німецьких і турецьких банківських додатків. Після попередження ESET шкідливі програми були видалені з Google Play, хостингова компанія знешкодила сервер зловмисників.