משפחה של אפליקציות זדוניות מקבוצת Mobile Apps Group רשומות ב- Google Play ונגועות ב- Android/Trojan.HiddenAds.BTTGTHB. בסך הכל רשומות ארבע אפליקציות וביחד הן צברו כמיליון הורדות. גרסאות ישנות יותר של אפליקציות אלו זוהו בעבר כגרסאות שונות של Android/Trojan.HiddenAds. עם זאת, מפתח האפליקציות עדיין נמצא ב- Google Play ומפיץ את התוכנה הזדונית העדכנית ביותר של HiddenAds. ידיעה זו באה בעקבות פרסום לפני מספר חודשים אודות הימצאות אפליקצייה זדונית לקריאת PDF בחנות Google Play.
malwarebytes ניתחו את הנוזקה ותחילה מצאו אפליקציה בשם Bluetooth Auto Connect. כאשר משתמשים מתקינים לראשונה את האפליקציה הזדונית הזו, עוברים מספר ימים לפני שהיא מתחילה להציג התנהגות זדונית. דחיית התנהגות זדונית היא טקטיקה נפוצה להתחמק מזיהוי על ידי מפתחי נוזקות. לאחר העיכוב הראשוני, האפליקציה הזדונית פותחת אתרי דיוג בדפדפן כרום. התוכן של אתרי הדיוג משתנה: חלקם אתרים לא מזיקים המשמשים רק כדי לייצר תשלום לפי קליק. לעומת זאת, אתרים אחרים הינם אתרי פישינג מסוכנים יותר המנסים להערים על משתמשים תמימים. לדוגמה, אתר אחד כולל תוכן למבוגרים שמוביל לדפי פישינג המספרים למשתמש שהוא נדבק בוירוס, או שהוא צריך לבצע עדכון. כרטיסיות דפדפן כרום נפתחות ברקע גם כשהמכשיר הנייד נעול. כאשר המשתמש פותח את המכשיר שלו, נפתח דפדפן כרום עם אתר הדיוג העדכני. היסטוריית הדפדפן של המשתמשים תכלול רשימה ארוכה של אתרי דיוג.
