Företaget upptäckte över 1 000 unika IP-adresser från infekterade enheter under sin genomgång, mestadels i Storbritannien och Italien. Statistik från Google Play visar dock att de skadliga applikationerna har laddats ner mer än 11 000 gånger. 

Sharkbot lurar användare genom att skicka ut push-meddelanden där användaren uppmanas ange autentiseringsuppgifter i ett fönster som liknar ett formulär. Det finns misstankar om att aktörerna bakom Sharkbot är rysktalande eftersom de har installerat en funktion som gör att enheter i Kina, Indien, Rumänien, Ryssland, Ukraina och Belarus inte berörs.

CPR rapporterade om sina resultat till Google. Efter att ha undersökt applikationerna fortsatte Google att permanent ta bort apparna från Google Play-butiken. Samma dag som fynden rapporterades in till Google publicerade NCC-gruppen en separat undersökning om Sharkbot, där de nämnde en av de skadliga apparna.

– Våra säkerhetsforskare upptäckte sex applikationer i Google Play som spred den skadliga koden Sharkbot.  Denna skadliga programvara stjäl autentiseringsuppgifter och bankinformation. Den är uppenbarligen väldigt farlig. Om vi tittar på antalet installationer kan vi konstatera att aktören bakom varit mycket träffsäker med sin metod för spridning av skadlig programvara. Aktören valde strategiskt ut appar på Google Play som har användarnas förtroende. Vad som också är anmärkningsvärt här är att aktörerna skickar meddelanden till offer som innehåller skadliga länkar, vilket leder till stor spridning.  säger Mats Ekdahl, säkerhetsexpert på Check Point Software Technologies.