Złośliwe aplikacje można podzielić na dwie kategorie – pierwszy rodzaj aplikacji wyświetlał reklamy, drugi przekierowywał użytkownika do stron WWW wyłudzających informacje.
Aplikacje wyświetlające reklamy
Odkryto 14 aplikacji, które podszywały się pod mody do Minecrafta, ale w rzeczywistości nie oferowały obiecywanej zawartości, a jedynie wyświetlały swojej ofierze reklamy. Jak działały? Po uruchomieniu aplikacje żądały uprawnień administratora. Po przyznaniu wymaganych uprawnień, wyświetlany był ekran z przyciskiem “INSTALL MOD”. Po kliknięciu przycisku użytkownik był proszony o zainstalowanie dodatkowego modułu “Block Launcher Pro” i przyznanie mu kilku dodatkowych uprawnień. W tym czasie pobierana była dodatkowa zawartość, która sama mogła ściągnąć z sieci kolejne złośliwe oprogramowanie.
Fałszywe aplikacje przekierowujące do strony wyłudzające dane
Wykryto również 73 aplikacje, przekierowujące użytkowników do stron internetowych. Po uruchomieniu, aplikacje te wyświetlały ekran z przyciskiem “pobierz”. Użytkownik, który kliknął w przycisk, nie otrzymywał modów, lecz był przekierowany na stronę WWW wyświetlającą: reklamy, ankiety wyłudzające numery telefonu, kody rabatowe, pornografię, fałszywe aktualizacje czy fałszywe ostrzeżenia o zainfekowaniu urządzenia wirusami. Zawartość stron wyświetlana była w różnych językach – w zależności od adresu IP ofiary.